Menu
Vous êtes ici : Accueil > Actualités > Contrôles de la CNIL sur les cookies : à quoi faut-il s'attendre exactement ?

Contrôles de la CNIL sur les cookies : à quoi faut-il s'attendre exactement ?

Le 20 mars 2021
Contrôles de la CNIL sur les cookies : à quoi faut-il s'attendre exactement ?
Quelle information RGPD et quel consentement aux cookies devez-vous appliquer sur votre site internet ? Votre Avocat RGPD à Paris vous répond et vous éclaire sur les cookies qui sont au coeur de la thématique de contrôle CNIL pour 2021

Dans un communiqué du 2 mars 2021, la CNIL annonce ses thématiques prioritaires de contrôle en 2021 pour assurer la conformité du RGPD et la protection des données personnelles des internautes.

Dans le cadre de son encadrement des obligations en matière de ciblage publicitaire et profilage des internautes, la CNIL s’intéresse depuis longtemps aux cookies et autres traceurs et commence à contrôler les site web au regard de ses nouvelles lignes directrices à partir du 1er avril 2021.  

Le recueil des cookies et traceurs dans le terminal de l’internaute est soumis aux dispositions de la directive ePrivacy de l’Union Européenne transposée en droit français par l’article 82 de la loi « Informatiques et Libertés » et a connu une évolution depuis 2010 notamment avec l’entrée en vigueur du RGPD qui a donné de nouvelles exigences par rapport au consentement.

Il doit être « libre, spécifique, éclairée et univoque » et résulter d’un « acte positif clair ».

Comment va s’opérer le contrôle de la CNIL pour le respect du RGPD et de la directive ePrivacy ? Quand est-ce que le consentement de l’internaute doit être recueilli pour pouvoir déposer des cookies ou autres traceurs ? Comment s’assurer que votre plateforme respecte les dispositions du RGPD et de la directive ePrivacy qui concernent les cookies et autres traceurs.

1. Qu’est-ce qu’un cookie ou traceur ?


Les traceurs peuvent prendre la forme de cookies ou des variables HTTP, des cookies « flash », des API par lesquels il y a accès aux informations du terminal ou toute mesure qui permet d’identifier un terminal. Les cookies recouvrent alors un ensemble de technologies soumis aux dispositions du RGPD et de la loi Informatique et Libertés et ne se limitent pas uniquement aux cookies.

2. Principe : recueil du consentement de l’internaute, sauf exceptions.


Pour pouvoir déposer ou lire des cookies ou autres traceurs des utilisateurs de site web/ applications ou autres, l’article 5(3) de la directive 2002/58/CE dite ePrivacy modifiée en 2009 pose le principe du consentement préalable de l’internaute. Il faut recueillir le consentement des utilisateurs au sens du RGPD avant toute lecture ou dépôt de cookies et traceurs et garder la preuve de ce consentement.

Le consentement peut ne pas être recueilli si les cookies bénéficient des exemptions prévues à l’article 82 de la loi Informatique et Libertés.   

2.1 Cookies qui ne nécessitent pas le recueil du consentement

Les cookies sont exemptés du consentement de l’internaute d’après l’article 82 de la Loi Informatique et liberté si le cookie :

  • « Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
  • Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »

Ce sont les cookies purement techniques qui sont utilisés dans l’intérêt de l’utilisateur et non du gestionnaire du site ou application mobile. Même si ces cookies ne demandent pas le consentement de l’utilisateur, il est recommandé de l’informer de leurs utilisations.

La CNIL donne quelques exemples des cookies qui sont exemptés du recueil de consentement de l’utilisateur :

  • Les cookies conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
  • Les cookies destinés à l’authentification auprès d’un service et la sécurité du mécanisme d’authentification (limitation d’accès frauduleux etc.) ;
  • Les cookies destinés à garder en mémoire le contenu d’un panier d’achat (sur un site comportant des achats en ligne) ou facturer sa demande ;
  • Les cookies permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
  • Les cookies permettant l'équilibrage de la charge des équipements concourant à un service de communication ;
  • Les cookies destinés à la personnalisation de l’espace de l’utilisateur (choisir une langue par exemple ou présenter un service) : à condition que cette personnalisation soit attendu du service ou un élément intrinsèque à la présentation du service.
  • Certains cookies permettant la mesure d’audience 

2.2 Cookies qui nécessitent le recueil du consentement préalable

Tous les autres cookies, à savoir notamment les cookies qui ne sont pas nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ou qui n’ont pas pour finalité exclusive de permettre ou faciliter la communication par voie électronique.

Par exemple :

  • Liés à l’affichage de publicité en ligne (personnalisée ou non personnalisée)
  • Liés à des partages sur réseaux sociaux
  • Les cookies analytiques sauf exemptions mesures d’audience détaillées ci-après 

3. Comment recueillir le consentement

3.1. Qui doit recueillir le consentement ?

L’obligation s’impose aux responsables de traitement qui déposent des cookies ou traceurs soumis au consentement préalable (les éditeurs de sites web et d’applications mobiles, les régies publicitaires quand les éditeurs autorisent le dépôt de cookies qui sont ensuite lus par des régies publicitaires par exemple ; dans ce cas les éditeurs et régies publicitaires sont considérés responsables conjoints de traitement, les réseaux sociaux fournissant modules de partage…) 

3.2 Comment recueillir le consentement ?

La CNIL a adopté des lignes directrices le 17 décembre 2020 complétée par une recommandation donnant des exemples pratiques de recueil du consentement. La CNIL renvoie à la définition du consentement du RGPD et aux conditions prévues aux articles 4(11) et 7 du RGPD.

Quels principes faut-il respecter au sens du RGPD ?

  •  Le consentement doit être préalable au dépôt ou lecture des cookies/ traceurs et explicite.
  • Informer l’utilisateur : l’informer de chaque finalité des cookies déposés, de façon claire, visible, simple et complète au moment de son choix. Il faut également informer l’utilisateur de l’identité du ou des responsables de traitement qui déposent les cookies.
  • Le consentement par un acte positif clair.
  • Liberté de choix de l’utilisateur : d’accepter certains cookies et d’en refuser d’autres
  • Personnalisation de l’acceptation : le refus d’accepter un cookie ou traceur n’affecte pas l’acceptation ou le refus des autres.
  • Facilité et liberté de refus : si l’internaute peut accepter tous les cookies en un clic, il devrait tout aussi facilement pouvoir les refuser, en un clic aussi
  • Retirer son consentement à tout moment : aussi facilement qu’il a été donné (par exemple par un lien en bas de page ou autre mécanisme facilement accessible à tout moment)
  • Renouvellement du consentement : chaque année. La CNIL recommande un renouvellement du consentement tous les 6 mois.
  • Obligation de garder la preuve du consentement.

4. Les cookies mesures d’audience (analytics) : consentement nécessaire ou pas ?


Devez-vous recueillir le consentement des utilisateurs avant de déposer des cookies mesures d’audience ? Cela dépend.

4.1 Quand est-ce que les cookies analytics sont-ils dispensés de consentement ?

Pour être exemptés du recueil du consentement au sens de l’article 82 de la Loi Informatique et Liberté, ces cookies doivent :

  • avoir une finalité strictement limitée à la seule mesure de l’audience du site ou de l’application (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de son ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consulté), pour le compte exclusif de l’éditeur. 
  • servir à produire des données statistiques anonymes uniquement.

    La CNIL donne des exemples des mesures strictement nécessaires pour la bonne administration d’un site (uniquement à titre d’exemple, liste non exhaustive) :
  • la mesure de l’audience, page par page ;
  • la liste des pages à partir desquelles un lien a été suivi pour demander la page courante que ce soit interne ou externe au site, par page et agrégée de manière journalière ;
  • les type de terminal, navigateur et taille d’écran des visiteurs, par page et agrégé de manière journalière ;
  • des statistiques de temps de chargement des pages, par page et agrégée de manière horaire ;
  • des statistiques de temps passé sur chaque page, de taux de rebond, de profondeur de défilement, par page et agrégée de manière journalière ;
  • des statistiques sur les actions utilisateurs (clic, sélection), par page et agrégée de manière journalière ;
  • des statistiques sur la zone géographique d’origine des requêtes, par page et agrégée de manière journalière »

4.2 Quelles sont les conditions fixées par la CNIL ?

L’exemption CNIL pour les cookies mesures d’audiences est donc acceptée sous certaines conditions :

  • La collecte des données est strictement nécessaire à la fourniture du service expressément demande par l’utilisateur
  • La finalité doit être strictement limitée à la mesure d’audience
  • Une conformité générale au RGPD.

    Durée de conservation recommandée pour les mesures d’audience exemptés de consentement : 13 mois.

La durée de conservation recommandée pour les mesures d’audience exemptés de consentement est de 13 mois.

4.3 Est-ce que les Cookies Google Analytics nécessite t-il un consentement préalable ?

A priori, il faut le consentement de l’internaute. Dans la délibération Carrefour, la CNIL a rappelé que les cookies Google Analytics nécessitent le consentement de l’utilisateur mais qu'ils peuvent néanmoins être exempte du consentement s’ils vérifient les conditions d’exemption de mesures d’audience que nous avons évoquée et qui sont détaillées sur le site de la CNIL.    

5. Le projet de Règlement ePrivacy.

5.1 Qu’est-ce que le Règlement ePrivacy ?

Le Règlement ePrivacy est un projet de Règlement du Conseil de l’UE, donc destiné à s’appliquer au sein de l’Union européenne pour remplacer la directive ePrivacy de 2002 régissant toutes les communications électroniques sur les services et réseaux accessibles au public provenant de particuliers au sein de l’Union européenne.

Le Règlement ePrivacy complète le RGPD par des règles qui s’appliquent spécifiquement au secteur des communications électroniques et donc l’emporte sur le RGPD dans ces domaines spécifiques. Le Règlement ePrivacy, comme la directive ePrivacy, traite notamment du dépôt et de la lecture des cookies et autres traceurs.

5.2 Quelle différence du Règlement ePrivacy avec les règles actuelles (RGPD / directive ePrivacy) ?

Le Règlement ePrivacy vient compléter le RGPD et prévaut dans les domaines spécifiques qu’il traite. Le Règlement ePrivacy va abroger la directive ePrivacy de 2002

5.3 Qu’est-ce que cela signifie pour les cookies ?

La directive de 2002 faisait l’objet de critiques car les internautes ne comprenaient pas ce à quoi ils consentaient et acceptaient uniquement le bandeau de cookies pour se débarrasser des bannières.

Cependant, avec le RGPD, l’utilisateur donne un consentement plus clair et manifeste à l’utilisation des cookies.

Le Règlement ePrivacy semble reprendre et insister sur ce point. Le consentement est au cœur du Règlement ePrivacy.

Qu’est-ce qu’exige le règlement ePrivacy ?

  • D’obtenir le consentement explicite de l’utilisateur final avant toute utilisation de cookies et traceurs
  • Le règlement aborde la question des « cookies wall ». Il prévoit la possibilité de les utiliser à condition que l’utilisateur se voit proposer un équivalent qui n’implique pas de donner son consentement aux cookies et traceurs.
  • Le règlement ePrivacy permet à l’utilisateur final d’établir une liste blanche des fournisseurs de cookies dans son navigateur et recommande aux fournisseurs de permettre à l’utilisateur de retirer son consentement à tout moment et de modifier facilement la liste blanche

Le consentement de l’utilisateur final au sens du RGPD reste donc un élément essentiel pour le recueil des cookies et traceurs.

En matière de cookies, le Règlement ePrivacy semble consacrer l’évolution des règles en matière de recueil du consentement des utilisateurs au sens du RGPD. Par exemple, le blocage d’un site conditionné à l’acceptation de cookies ou autres traceurs est interdit.

Dans le rapport de la proposition du Règlement ePrivacy il est mentionné que « les conditions relatives au consentement de l’utilisateur sont alignées sur le RGPD »

5.4 Quelle est la date d’entrée en vigueur du Règlement ePrivacy ?

En 2017, une première version du Règlement ePrivacy a été rédigée et présentée par la Commission Européenne qui vise à réviser et abroger la directive dite ePrivacy de 2002. Les Etats membres ont trouvé, le 10 février 2021, 4 ans plus tard, un accord sur la version finale du projet de Règlement proposé par le Conseil de l’Union Européenne (UE), ce qui permettra de commencer les négociations entre la Commission européenne, le Conseil de l’Union européenne et le Parlement européen.

La date d’entrée en vigueur du règlement reste inconnue vu qu’il s’agit encore d’un projet, mais le projet prévoit que celui-ci entrera en vigueur 20 jours après sa publication au Journal officiel de l’UE et qu’il commencera à s’appliquer 2 ans plus tard.

En d’autres termes, si les négociations entre les 3 autorités aboutissent et que le projet est bien adopté en 2021, le règlement ePrivacy entrera en vigueur en 2023. Mais ce ne sont que des spéculations vu qu’il n’est pas sûr que le projet aboutisse en 2021 en raison de vives critiques et oppositions par rapport à ce projet (notamment des autorités allemandes).

Article rédigé par Maître Mathilde Barbour, Avocat spécialisé en matière de protection des données personnelles RGPD à Paris et Madame Karen Eid