La CNIL a adopté des lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs.
Ces nouvelles normes sont entrées en vigueur au 31 Mars 2021 et doivent être appliquées.
LES GRANDS PRINCIPES
Concernant le consentement des utilisateurs :
- la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute ;
- les personnes doivent consentir au dépôt de traceurs par un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil.
- Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment.
- Refuser les traceurs doit être aussi aisé que de les accepter.
Concernant l’information des personnes :
- elles doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs ;
- elles doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement.
- Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.
LES RECOMMANDATIONS
La CNIL recommande que l’interface de recueil du consentement ne comprenne pas seulement un bouton « tout accepter » mais aussi un bouton « tout refuser ».
Elle suggère que les sites internet, qui généralement conservent pendant une certaine durée le consentement aux traceurs, conservent également le refus des internautes pendant une certaine période, afin de ne pas réinterroger l’internaute à chacune de ses visites.
En outre, pour que l’utilisateur soit bien conscient de la portée de son consentement, la CNIL recommande que, lorsque des traceurs permettent un suivi sur des sites autres que le site visité, le consentement soit recueilli sur chacun des sites concernés par ce suivi de navigation.
COMMENT METTRE MON SITE WEB EN CONFORMITÉ ?
QUELS SONT LES ENJEUX AU REGARD DE LA PROTECTION DES DONNÉES ?
Lorsqu’ils naviguent sur le web ou utilisent des applications mobiles, les internautes sont de plus en plus suivis par différents acteurs (éditeurs de service, régies publicitaires, réseaux sociaux, etc.) qui analysent leur navigation, leurs déplacements et leurs habitudes de consultation ou de consommation, afin notamment de leur proposer des publicités ciblées ou des services personnalisés. Ce traçage est réalisé par l’intermédiaire de différents outils techniques, les « traceurs », dont font partie les cookies.
QU’ENTEND-ON PAR LES TERMES « COOKIES » OU » TRACEURS « ?
Les traceurs peuvent être déposés ou lus, par exemple lors de la consultation d’un site web, d’une application mobile, ou encore de l’installation ou de l’utilisation d’un logiciel.
Le terme de traceur peut notamment recouvrir :
- les cookies et des variables HTTP, qui peuvent notamment transiter par des pixels invisibles ou des « web beacon » ;
- les cookies « flash » ;
- les accès aux informations du terminal depuis des API (LocalStorage, IndexedDB, identifiants publicitaires tels que l’IDFA ou l’android ID, l’accès au GPS, etc.),
- tout autre identifiant généré par un logiciel ou un système d’exploitation (numéro de série, adresse MAC, identifiant unique de terminal (IDFV), ou tout ensemble de données qui servent à calculer une empreinte unique du terminal (par exemple via une méthode de « fingerprinting »).
La loi s’applique quel que soit le type de terminal utilisé : ordinateurs, smartphones, tablettes numériques et consoles de jeux vidéo connectées à Internet ainsi que tout autre équipement terminal connecté à un réseau de télécommunication ouvert au public.
Par commodité, le terme « traceurs » recouvre l’ensemble de ces technologies.
COMMENT RECUEILLIR UN CONSENTEMENT VALIDE ?
Informer l’utilisateur. L’information doit notamment comprendre :
- l’ensemble des finalités d’usages liées aux traceurs, qui doit être présenté à l’utilisateur au moment de faire son choix. Pour des raisons de clarté et de concision, cette première description peut être limitée à une brève présentation des objectifs poursuivis par les traceurs ; une description plus détaillée peut être fournie à l’utilisateur dans un second temps.
- une liste, régulièrement mise à jour, des responsables du ou des traitements de données accessible directement ou indirectement (via un lien hypertexte par exemple) sur le premier niveau d’information.
Permettre à l’utilisateur de consentir par un acte positif clair : le silence des personnes, qui peut passer par la simple poursuite de leur navigation, doit désormais s’interpréter comme un refus. En revanche, une demande de consentement effectuée au moyen de cases à cocher, et décochées par défaut, est facilement compréhensible par les utilisateurs. La CNIL recommande de s’assurer que les interfaces de recueil des choix n’intègrent pas des pratiques de design trompeuses : bouton décoloré, barre de défilement (« slide bar ») difficilement compréhensible, etc.
Permettre à l’utilisateur de faire un choix par finalité : il est recommandé de permettre à l’utilisateur de donner son consentement de façon indépendante et spécifique pour chaque finalité, par exemple au moyen de cases à cocher. Il est possible de proposer à l’utilisateur de consentir de manière globale à un ensemble de finalités, en intégrant, par exemple, des boutons « tout accepter » ou « tout refuser », mais uniquement si l’ensemble des finalités est présenté préalablement.
Permettre à l’utilisateur d’exercer ses choix avec le même degré de simplicité : par exemple, au stade du premier niveau d’information, les utilisateurs peuvent avoir le choix entre deux boutons présentés au même niveau et sur le même format, sur lesquels sont inscrits respectivement « tout accepter » et « tout refuser ». Les choix de l’utilisateur doivent, en principe, être conservés durant leur navigation sur le site. La CNIL recommande que le choix exprimé par les utilisateurs, qu’il s’agisse d’un consentement ou d’un refus, soit enregistré de manière à ne pas les solliciter à nouveau pendant un certain laps de temps. Une durée de six mois, tant pour le consentement que le refus est en général appropriée.
Permettre à l’utilisateur de revenir sur sa décision à tout moment : l’utilisateur doit avoir la possibilité de retirer son consentement à tout moment, par exemple avec un lien en pied de page ou un autre mécanisme de gestion des cookies accessible à tout moment sur le service concerné.