En application de la directive ePrivacy, les internautes doivent être informés et donner leur consentement préalablement au dépôt et à la lecture de certains traceurs, tandis que d’autres sont dispensés du recueil de ce consentement.
Que recouvrent les termes « cookie » ou « traceur » ?
Les termes de « cookie » ou « traceur » recouvrent par exemple :
- les cookies HTTP,
- les cookies « flash »,
- le résultat du calcul d’une empreinte unique du terminal dans le cas du « fingerprinting » (calcul d’un identifiant unique du terminal basée sur des éléments de sa configuration à des fins de traçage),
- les pixels invisibles ou « web bugs »,
- tout autre identifiant généré par un logiciel ou un système d’exploitation (numéro de série, adresse MAC, identifiant unique de terminal (IDFV), ou tout ensemble de données qui servent à calculer une empreinte unique du terminal (par exemple via une méthode de « fingerprinting »).
Ils peuvent être déposés et/ou lus, par exemple lors de la consultation d’un site web, d’une application mobile, ou encore de l’installation ou de l’utilisation d’un logiciel et ce, quel que soit le type de terminal utilisé : ordinateur, smartphone, tablette numérique ou console de jeux vidéo connectée à internet.
Quel est le cadre juridique applicable ?
L’article 5(3) de la directive 2002/58/CE modifiée en 2009 pose le principe :
- d’un consentement préalable de l’utilisateur avant le stockage d’informations sur son terminal ou l’accès à des informations déjà stockées sur celui-ci ;
- sauf si ces actions sont strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ou ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique.
L’article 82 de la loi Informatique et Libertés transpose ces dispositions en droit français.
La CNIL rappelle que le consentement prévu par ces dispositions renvoie à la définition et aux conditions prévues aux articles 4(11) et 7 du RGPD. Il doit donc être libre, spécifique, éclairé, univoque et l’utilisateur doit être en mesure de le retirer, à tout moment, avec la même simplicité qu’il l’a accordé.
Afin de rappeler et d’expliciter le droit applicable au dépôt et à la lecture de traceurs dans le terminal de l’utilisateur, la CNIL a adopté le 17 septembre 2020 des lignes directrices, complétées par une recommandation visant notamment à proposer des exemples de modalités pratiques de recueil du consentement.
A qui s’impose cette obligation ?
Elle s’impose aux responsables du ou des traitements qui déposent des traceurs soumis au consentement en application de l’article 82 de la loi Informatique et Libertés (par exemple lorsque les éditeurs autorisent le dépôt de cookies qui sont ensuite lus par des régies publicitaires). Ces derniers sont réputés être responsables conjoints du traitement dans la mesure où ils déterminent conjointement les finalités et les moyens des opérations de lecture et écriture sur l’équipement terminal des utilisateurs.
L’obligation de recueil du consentement peut donc s’imposer notamment :
- aux éditeurs de sites web et d’applications mobiles ;
- aux régies publicitaires ;
- aux réseaux sociaux qui fournissent des modules de partage sur les réseaux sociaux.
De manière générale, les éditeurs de sites ou d’applications mobiles, du fait d’un contact direct avec l’utilisateur, sont souvent les plus à même de porter à la connaissance de ce dernier l’information sur les traceurs déposés et de collecter leur consentement.
Quels cookies nécessitent le consentement préalable des utilisateurs ?
Tous les cookies n’ayant pas pour finalité exclusive de permettre ou faciliter une communication par voie électronique ou n’étant pas strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur nécessitent le consentement préalable de l’internaute. Parmi les cookies nécessitant une information préalable et le recueil préalable du consentement de l’utilisateur, on peut notamment citer :
- les cookies liés aux opérations relatives à la publicité personnalisée ;
- les cookies des réseaux sociaux, notamment générés par leurs boutons de partage.
En ce qui concerne les traceurs non soumis au consentement, on peut évoquer :
- les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
- les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
- les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer, à l’utilisateur, le(s) produit(s) et/ou service(s) acheté(s) ;
- les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
- les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
- les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
- certains traceurs de mesure d’audience dès lors qu’ils respectent certaines conditions.
Comment recueillir valablement le consentement ?
Le consentement doit se manifester par une action positive de la personne préalablement informée, notamment, des conséquences de son choix et disposant des moyens d’accepter, de refuser et de retirer son consentement. Des systèmes adaptés doivent donc être mis en place pour recueillir le consentement selon des modalités pratiques qui permettent aux internautes de bénéficier de solutions simples d’usage.
L’acceptation de conditions générales d’utilisation ne peut être une modalité valable de recueil du consentement.
Le consentement doit être préalable au dépôt et/ou à la lecture de cookies.
- Tant que la personne n’a pas donné son consentement, les cookies ne peuvent pas être déposés ou lus sur son terminal.
- Il doit être requis à chaque fois qu’une nouvelle finalité nécessitant le consentement vient s’ajouter aux finalités initialement prévues.
Le consentement est une manifestation de volonté, libre, spécifique, univoque et éclairée. La validité du consentement est donc notamment liée à la qualité de l’information reçue.
- Elle doit être visible, mise en évidence et complète.
- Elle doit être rédigée en des termes simples et compréhensibles par tout utilisateur.
- Elle doit permettre aux internautes d’être parfaitement informés notamment s’agissant des différentes finalités des cookies et de l’identité des responsables du ou des traitements.
- Afin de concilier concision et précision de l’information, il est possible d’avoir deux niveaux d’information : par exemple, un premier niveau peut brièvement décrire chaque finalité de traitement, tandis qu’un second niveau viendrait fournir plus de détails sur ces finalités et sur la liste des responsables du ou des traitements.
Le consentement n’est valide que si la personne exerce un choix réel.
- L’utilisateur doit pouvoir accepter ou refuser le dépôt et/ou la lecture des cookies avec le même degré de simplicité.
- Aux termes du considérant 42 du RGPD, qui éclaire l’exigence de liberté du consentement posée par son article 4, « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».
- Par ailleurs, la CNIL recommande que ce choix soit effectué sur chacun des sites ou applications concernés par le suivi de navigation.
Le consentement doit pouvoir être retiré simplement et à tout moment par l’utilisateur.
- Il doit être aussi simple de retirer son consentement que de le donner.
- Des solutions permettant aux utilisateurs de retirer leur consentement doivent être mises à la disposition de l’utilisateur. Elles doivent être accessibles à tout moment.
Comment prouver que l’on a bien recueilli le consentement ?
Chaque acteur se prévalant du consentement doit être en mesure d’en apporter la preuve. Il peut pour cela utiliser les modalités suivantes, non exclusives :
- Une mise sous séquestre auprès d’un tiers du code informatique utilisé par l’organisme recueillant le consentement, pour les différentes versions de son site ou de son application mobile, voire simplement par la publication horodatée sur une plate-forme publique d’un condensat (ou « hash ») de ce code pour pouvoir prouver son authenticité a posteriori ;
- Une capture d’écran du rendu visuel affiché sur un terminal mobile ou fixe peut être conservée, de façon horodatée, pour chaque version du site ou de l’application ;
- Des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre par des tiers mandatés à cette fin ;
- Les informations relatives aux outils mis en œuvre et à leurs configurations successives (tels que les solutions de recueil du consentement, également connues sous l’appellation CMP « Consent Management Platform ») peuvent être conservées, de façon horodatée, par les tiers éditant ces solutions