La Cnil commencera fin mars 2021 à sanctionner les éditeurs de services en ligne qui ne se seront pas mis en conformité avec ses nouvelles règles les obligeant notamment à obtenir de manière plus stricte qu’avant le consentement des internautes avant de déposer des traceurs sur leurs terminaux.
Par Florence Chafiol, avocate associée, et Stéphanie Lapeyre, avocate, August Debouzy
Le cookie, ce petit fichier texte informatique déposé et lu sur le terminal d’un utilisateur, n’a vu le jour qu’en 1994. Si, au début de leur création, les cookies avaient une utilité limitée et méconnue du grand public, ils sont aujourd’hui au coeur de la stratégie numérique de la plupart des éditeurs de services en ligne et sources de nombreux débats. Victimes de leur succès, leur utilisation a rapidement été réglementée (1). En 2002, la directive européenne dite « ePrivacy » (2) est venue encadrer leur utilisation.
Base de la recette : informer les utilisateurs
Le consentement est alors devenu central : en principe pas de cookies sans accord préalable des utilisateurs. En France, la Commission nationale de l’informatique et des libertés (Cnil) a adopté sa première recommandation sur le sujet en 2013, afin de guider les éditeurs dans l’application de la loi et notamment dans les modalités d’obtention du consentement. Le Règlement général sur la protection des données (RGPD) ayant durci les conditions d’obtention d’un tel consentement, la Cnil a adopté le 4 juillet 2019 de nouvelles lignes directrices (3) qui sont venues abroger la recommandation de 2013. Ces lignes directrices ont été partiellement remises en cause par le Conseil d’Etat (4), et une nouvelle version a alors vu le jour le 17 septembre 2020 (5), assortie de recommandations opérationnelles (6) pour accompagner au mieux les éditeurs.
A la lecture de ces nouveaux documents adoptés par la Cnil, on note tout d’abord que l’obligation d’information préalable des utilisateurs est renforcée par rapport à 2013, même si ses modalités ne changent pas réellement : la Cnil recommande toujours une information à deux niveaux, avec un premier niveau mis en évidence lors de la connexion à la plateforme, qui contient les informations essentielles (dans la fameuse interface de recueil de consentement souvent appelée « bannière cookies ») et qui renvoie à un second niveau d’information plus complet. Cependant, les éléments devant figurer dans ces deux niveaux d’information sont largement précisés et apparaissent plus contraignants qu’auparavant. Les entreprises devront ainsi notamment s’assurer que leur bannière cookies :
• Mette en exergue chaque finalité spécifique dans un intitulé court accompagné d’un bref descriptif. Un niveau de détail plus important que celui qui existe actuellement est donc requis dès le premier niveau d’information. Il ne sera dès lors plus possible, par exemple, de se contenter d’informer l’utilisateur de l’utilisation de cookies à des fins publicitaires ; il faudra préciser si ces derniers sont utilisés pour de la publicité ciblée, non-ciblée, géolocalisée, etc.
• Permette à l’utilisateur d’accéder facilement à une information détaillée sur chaque finalité. L’utilisateur doit pouvoir cliquer sur un lien hypertexte « en savoir plus » ou ouvrir un menu déroulant lui donnant, pour chaque finalité, des informations plus précises sur les opérations techniques réalisées.
• Permette à l’utilisateur d’accéder facilement à la liste exhaustive et à jour des responsables de traitement. Pour ce faire, la Cnil recommande d’indiquer le nombre de responsables de traitement et de renvoyer, via un lien hypertexte, vers une liste plus exhaustive (avec leur identité et un lien vers leur politique de protection des données) (7). L’éditeur devra donc être en mesure d’établir une liste de l’ensemble des organismes qui seraient susceptibles de déposer des cookies sur son site/application (cookies tiers) pour leur propre compte et devra mettre cette liste à jour régulièrement.