Les nouvelles lignes directrices et recommandations CNIL en matière de cookies et de traceurs de tout type.

Les lignes directrices (délibération 2020-091) et les recommandations CNIL (délibération 2020-092) du 17 septembre 2020 viennent préciser les règles en matière de consentement, dans le prolongement de la directive ePrivacy (2002/58/CE) et des lignes directrices du Comité européen de la protection des données du 4 mai 2020 (5/2020), du RGPD et de l’article 82 de la loi Informatiques et Libertés, des précédenntes délibérations CNIL et des décisions du Conseil d’Etat.

Les traceurs non purement techniques doivent faire l’objet d’une information et d’un consentement. C’est le principe exposé à l’article 82 de la loi Informatique et Libertés.

Cela concerne en particulier les “cookies HTTP, par lesquels ces actions de lecture ou écriture sont le plus souvent réalisées, mais également d’autres technologies telles que les « local shared objects » appelés parfois les « cookies Flash », le « local storage » mis en œuvre au sein du standard HTML 5, les identifications par calcul d’empreinte du terminal ou « fingerprinting », les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d’un appareil), etc”.

Les lignes directrices précisent que ce principe s’applique indépendamment du fait que les données collectées soient à caractère personnel ou non, sans bien entendu exclure le RGPD et la loi Informatique et Liberté qui restent applicables et prioritaires sur le sujet des données à caractère personnel – “parfois directement identifiantes (par exemple, une adresse électronique) et souvent indirectement identifiantes (par exemple, l’identifiant unique associé à un cookie, une adresse IP, un identifiant du terminal ou d’un composant du terminal de l’utilisateur, le résultat du calcul d’empreinte dans le cas d’une technique de « fingerprinting », ou encore un identifiant généré par un logiciel ou un système d’exploitation)”.

Responsables conjoints :

L’ensemble des acteurs qui interviennent sur des traceurs de mesure d’audience qui traitent de données personnelles sont considérés comme responsables conjoints, et doivent respecter la règlementation française.

“Le Conseil d’Etat a jugé, dans sa décision du 6 juin 2018, qu’au titre des obligations qui pèsent sur l’éditeur de site, figurent celle de s’assurer auprès de ses partenaires, d’une part, qu’ils n’émettent pas, par l’intermédiaire du site de l’éditeur, des traceurs qui ne respectent pas la règlementation applicable en France et, d’autre part, celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements”.

En matière de sous-traitance :

“La Commission rappelle que l’éditeur d’un site qui dépose des traceurs doit être considéré comme un responsable de traitement, y compris lorsqu’il sous-traite à des tiers la gestion de ces traceurs mis en place pour son propre compte”, et “qu’un acteur qui stocke et/ou accède à des informations stockées dans l’équipement terminal d’un utilisateur exclusivement pour le compte d’un tiers doit être considéré comme sous-traitant. Elle rappelle, à cet égard, que si une relation de sous-traitance est établie, le responsable de traitement et le sous-traitant doivent établir un contrat ou un autre acte juridique précisant les obligations de chaque partie, dans le respect des dispositions de l’article 28 du RGPD”.

Consentement :

La CNIL indique que « les possibilités de paramétrage des navigateurs et des systèmes d’exploitation ne peuvent, à eux seuls, permettre à l’utilisateur d’exprimer un consentement valide ».

Sur les cookies walls (l’utilisateur ne peut accéder au site s’il n’accepte pas les cookies), la CNIL indique que la méthode est licite mais qu’elle ne devrait pas dispenser qu’une information précise soit fournie sur les différentes finalités poursuivies par les traitements effectués, et recommande ainsi, à l’instar de ce qu’on peut déjà voir sur certains sites, qu’une information de second niveau soit fournie, permettant à l’utilisateur de personnaliser ses choix.

Une acceptation globale des conditions générales d’utilisation du site ne respecte pas le principe du consentement spécifique.

Le consentement suppose une action positive. La simple poursuite de la navigation ou l’utilisation de cases pré-cochées par défaut sont insuffisantes. Il ne s’agit pas toutefois de gêner la navigation. Le refus et le retrait du consentement doivent être facilités.

Les lignes directrices et les recommandations donnent des suggestions, des indications, des exemples.

Preuve :

La recommandation suggère des solutions en matière de conservation de la preuve du consentement, par exemple, “les différentes versions du code informatique utilisé par l’organisme recueillant le consentement peuvent être mises sous séquestre auprès d’un tiers, ou, plus simplement, un condensat (ou « hash ») de ce code peut être publié de façon horodatée sur une plate-forme publique, pour pouvoir prouver son authenticité a posteriori”.

Lignes directrices
Recommandation

Droit des cookies : les recommandations CNIL

Transfert de données : l’évaluation des législations étrangères

Accompagnement sur les contrats informatiques

Consultez un avocat spécialisé en droit informatique

 

Droit de l’internet – Cadre légal

 

Le droit des données personnelles

Directive n° 2016/680 du 27 avril 2016, dite directive « Police-Justice »

Règlement 2016/679 (RGPD règlement général sur la protection des données personnelles) abrogeant la directive 95/46/

 

Les métadonnées, les cookies, télécoms et vie privée :

Directive 2002/58/CE du 12 juillet 2002 dite « vie privée et communications électroniques» (directive e-Privacy sur les métadonnées), modifiée en 2009 (directive 2009/136/CE).Les communications électroniques :
Directive 2002/21 (cadre réglementaire commun pour les réseaux et services de commuication électronique) abrogée par la Directive 2018/1972 (code des communications électroniques européen).

Consommation

Règlement 2015/2120Les plateformes et le droit de la consommation, la loyauté

Règlement 2019/1150 (transparence) (concerne les vendeurs faisant appel aux plateformes)

Directive (commerce électronique) 2000/31

Directive 2015/1535 (notification des règlementations techniques)

 

Droit d’auteur

Directive 2019/790 (droit d’auteur dans le marché unique numérique)

 

L’open data:

Directive 2019/1024 remplaçant la directive 2003/98

 

Les médias, l’audiovisuel

DOCUMENT PRINCIPAL
Directive 2010/13/UE du Parlement européen et du Conseil du 10 mars 2010 visant à la coordination de certaines dispositions législatives, réglementaires et administratives des États membres relatives à la fourniture de services de médias audiovisuels (directive «Services de médias audiovisuels») (JO L 95 du 15.4.2010, p. 1-24)
Les modifications successives de la directive 2010/13/CE ont été intégrées au document d’origine. Cette version consolidée n’a qu’une valeur documentaire.

DOCUMENTS LIÉS
Directive (UE) 2017/541 du Parlement européen et du Conseil du 15 mars 2017 relative à la lutte contre le terrorisme et remplaçant la décision-cadre 2002/475/JAI du Conseil et modifiant la décision 2005/671/JAI du Conseil (JO L 88 du 31.3.2017, p. 6-21)
Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions intitulée «Stratégie pour un marché unique numérique en Europe» (COM(2015) 192 finaldu 6.5.2015)
Charte des droits fondamentaux de l’Union européenne (JO C 326 du 26.10.2012, p. 391-407)
Directive 2002/21/CE du Parlement européen et du Conseil du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques (directive «cadre») (JO L 108 du 24.4.2002, p. 33-50)

Consultation sur le droit des plateformes (Digital Services Act) :
https://ec.europa.eu/eusurvey/runner/Digital_Services_Act

Cadre légal UE

Transposition nationale

Digital Service Act – Digital Market Act

Faire retirer un avis négatif

Le droit des cookies, le projet de recommandations

Mise à jour : 17 février 2022 :

Les nouvelles lignes directrices et recommandations CNIL en matière de cookies et de traceurs de tout type.

 

La matière est régie par l’article 82 de la loi Informatique et Libertés transposant l’article 5(3) de la directive 2002/58/CE du 12 juillet 2002 dite « vie privée et communications électroniques» (directive e-Privacy sur les métadonnées), modifiée en 2009 (directive 2009/136/CE).

Quand le cookie traite des données à caractère personnel le RGPD, la directive n° 2016/680 du 27 avril 2016, dite directive « Police-Justice », textes qui adressent spécifiquement le thème du traitement des données à caractère personnel (par opposition à d’autres types de données), sont aussi applicables. Ces textes sont aussi transposés ou repris par la loi informatique et libertés.

Les organismes administratifs en charge de ces matières : CNIL(projet de recommandation du 14 janvier 2020, toujours à l’état de projet à l’heure actuelle), CEPD (Comité Européen pour la protection des données, ex-« G29″lignes directrices sur le consentement du 28 nov. 2017, WP 259 rev. 01)) ont livré leurs approches, la CJUE aussi (CJUE 1er oct. 2019, aff. C-673/17, Planet49).

On peut retenir que, pour tout type de traceur (et pas seulement le traditionnel cookie web), le consentement spécifique et positif de l’internaute sur les finalités et les responsables du traitement, sur la portée exacte de son consentement (sa durée notamment), est requis, en particulier en ce qui concerne les traceurs d’audience.

Ce qui suppose une information claire et préalable, sous une « policy » spécifique.

Même le cookie simplement « technique », nécessaire au bon fonctionnement technique du service, ne devrait pas non plus, lui aussi, échapper à cette nécessité, selon la CNIL.

Le simple renvoi de l’internaute au paramétrage de son navigateur pour bloquer ou sélectionner des cookies n’est pas suffisant.

L’éditeur d’un contenu en ligne ne pourra pas se décharger de sa responsabilité sur l’intermédiaire technique ou l’agence de communication auxquels il ferait appel, tant en ce qui concerne les traceurs d’audience que les traceurs déposés par des tiers, dans le sens où il pourra toujours être poursuivi en première ligne.

Une analyse de conformité s’attachera donc à qualifier les différents types de cookies, leurs finalités, leurs responsables, pour identifier le régime juridique exact qui leur est applicable, puis pour mettre en place les modalités de consentement adéquates.

Un contrat très détaillé avec un gestionnaire de consentement pourra être nécessaire, d’autant qu’un  site web évolue en permanence et que les consentements sont donnés pour des durées et des finalités limitées, que les traceurs peuvent changer ou être modifiés : le consentement sera donc à adapter ou à solliciter fréquemment. L’utilisateur devra pouvoir aussi retirer son consentement à tout moment.

La preuve du consentement et de sa conformité devront pouvoir être rapportées, impliquant des audits et des mécanismes de séquestre et d’archivage.

https://www.cnil.fr/sites/default/files/atoms/files/projet_de_recommandation_cookies_et_autres_traceurs.pdf

Le Conseil d’Etat le 19 juin 2020 a remis en cause la recommandation de la CNIL sur les cookies wall laissant entendre que la faculté d’interdire l’accès à un site en cas de refus des cookies avait une légitimité.

L’accompagement sur les chartes et contrats informatiques