• Home
  • CNIL
  • La CNIL publie ses nouvelles recommandations sur les cookies et le recueil du consentement : un impact majeur sur l’industrie digitale ?

La CNIL publie ses nouvelles recommandations sur les cookies et le recueil du consentement : un impact majeur sur l’industrie digitale ?

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email

La CNIL vient de publier ses recommandations sur les modalités opérationnelles de recueil du consentement au moment du dépot des cookies et des autres traceurs[1].

Les principales nouveautés de ces lignes directrices pour les éditeurs sont les suivantes :

  • Une évaluation au cas par cas de la licéité des « cookie walls», qui doit inclure en tout état de cause des indications sur les conséquences en cas de refus des cookies ;
  • La qualification du silence ou de l’inaction de l’utilisateur comme un refus du paramétrage des cookies sur leurs terminaux ;
  • Un alignement sur la position du Comité Européen de la Protection des Données[2] (CEPD) pour la qualification des tiers qui déposent des cookies dans leur propre intérêt sur le site web d’un éditeur, en tant que responsable du traitement conjoint avec cet éditeur.

 

Pour les cookie walls, contrairement aux lignes directrices publiées en juillet 2019 qui les avait déclaré illégaux, ces nouvelles lignes directrices affirment qu’une analyse au cas par cas doit être effectuée à chaque fois. En substance, les éditeurs doivent documenter les raisons qui justifient la nécessité d’un cookie wall.

Quant à la collecte du consentement, les éditeurs doivent informer leurs utilisateurs sur toutes les finalités de la collecte avant obtenir leur consentement. Si le consent management platform fournit une option pour chaque finalité, il peut également afficher l’option « tout accepter ».

En outre, les utilisateurs doivent être informés préalablement au recueil de leur consentement de :

  • L’identité du ou des responsables de traitement des opérations de lecture ou d’écriture ;
  • La finalité des opérations de lecture ou d’écriture des données ;
  • La modalité pour accepter ou refuser les traceurs ;
  • Les conséquences qui s’attachent à un refus ou une acceptation des traceurs ;
  • L’existence du droit de retirer leur consentement.

 

La Commission s’est également exprimée sur le caractère univoque du consentement. Notamment, elle considère que des actions comme continuer à naviguer sur un site web ne constituent pas des actions positives et claires assimilables au consentement. En outre, en cas d’absence de consentement exprimé par un acte positif et clair, l’utilisateur doit être considéré comme ayant refusé l’accès à son terminal ou l’inscription d’informations dans ce dernier.

En ce qui concerne les acteurs qui déposent les cookies, la CNIL a donné ses indications sur la position de ces derniers :

  • Les éditeurs qui déposent des cookies doivent être considérés en tant que responsables du traitement, même s’ils recourent à des tiers pour gérer les cookies en leur nom ;
  • Les acteurs qui déposent des cookies sur le site de l’éditeur (par exemple une régie publicitaire) doivent se considérer comme :
  1. Sous-traitants, lorsqu’ils stockent et/ou accèdent à des informations stockées dans l’équipement terminal d’un utilisateur exclusivement pour le compte d’un tiers ;
  2. Responsables du traitement, lorsqu’ils déposent des traceurs sur un service édité par un autre organisme uniquement pour son propre compte.

La CNIL recommande également que les choix des utilisateurs soient conservés pendant un certain temps et déterminés au cas par cas en fonction de la nature du site ou de l’application et des spécificités du public, et que le consentement soit renouvelé à intervalles régulières. Précédemment, la CNIL avait appliqué une durée de 13 mois pour renouveler le consentement. En revanche, la nouvelle indication de durée pour le renouvellement du consentement a été abaissée à six mois, sans modifier toutefois la durée de conservation.

La liste des traceurs exemptés du consentement a été également mise à jour. Ce sont notamment :

  • Les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
  • Les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification ;
  • Les traceurs destinés à garder en mémoire le contenu d’un panier d’achat ou à facturer ;
  • Les traceurs de personnalisation de l’interface de l’utilisateur (par exemple le choix de la langue) ;
  • Les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
  • Les traceurs permettant aux sites payants de limiter l’accès gratuit (paywall cookies) ;

 

En ce qui concerne les traceurs de mesure d’audience, la Commission a affirmé qu’ils ne sont pas soumis à l’obligation légale de recueil préalable du consentement de l’utilisateur à condition qu’ils :

  • Ne permettent pas de tracer les utilisateurs sur plusieurs sites web ou applications ;
  • Ou ne peuvent être utilisés que pour produire des données statistiques anonymes et les données collectées ne peuvent être recoupées avec d’autres traitements de données ni transmises à des tiers.

 

[1] CNIL, Cookies et autres traceurs : la CNIL publie des lignes directrices modificatives et sa recommandation, 01/10/20. https://www.cnil.fr/fr/cookies-et-autres-traceurs-la-cnil-publie-des-lignes-directrices-modificatives-et-sa-recommandation.
[2] Guidelines 07/2020 on the concepts of controller and processor in the GDPRGuidelines 08/2020 on the targeting of social media users, CEPD.

Évaluez votre niveau
de conformité

En quelques clics,
lancez sans engagement
et en toute conformité un
audit flash !

Pour recevoir votre audit flash gratuit et sans engagement, merci de bien vouloir remplir ce formulaire :