La Cnil a publié ses lignes directrices et sa recommandation sur les cookies et les autres traceurs, le 1er octobre. Les sites web ont jusqu’à mars 2021 pour se mettre en conformité. La Cnil se félicite de cette évolution des règles applicables qui doit permettre aux internautes d’exercer un meilleur contrôle sur les traceurs en ligne.
Recueillir le consentement des internautes avant toute opération
L’article 82 de la loi Informatique et Libertés transpose en droit français l’article 5.3 de la directive 2002/58/CE « vie privée et communications électroniques » (ou « ePrivacy »). Il prévoit l’obligation, sauf exception, de recueillir le consentement des internautes avant toute opération d’écriture ou de lecture de cookies et autres traceurs.
Les personnes doivent consentir au dépôt de traceurs par un acte positif clair comme le fait de cliquer sur « j’accepte »
Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment. Refuser les traceurs doit être aussi aisé que de les accepter. Concernant l’information des personnes, elles doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs ; elles doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement. Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.
Certains traceurs exemptés de déclaration
Certains traceurs sont cependant exemptés du recueil de consentement, comme par exemple les traceurs destinés à l’authentification auprès d’un service, ceux destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand, certains traceurs visant à générer des statistiques de fréquentation, ou ceux permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs.
La Cnil suggère que les sites internet conservent le refus des internautes pendant une certaine période
Pour que l’utilisateur soit bien conscient de la portée de son consentement, la Cnil recommande que, lorsque des traceurs permettent un suivi sur des sites autres que le site visité, le consentement soit recueilli sur chacun des sites concernés par ce suivi de navigation.
Une FAQ rédigée par la Cnil
Afin de répondre aux questions des acteurs concernés et des internautes, la Cnil propose une FAQ accompagnement la publication des lignes directrices et de la recommandation. La Cnil invite tous les acteurs concernés à s’assurer de la conformité de leurs pratiques aux exigences du RGPD et de la directive ePrivacy. Elle estime que le délai de mise en conformité aux nouvelles règles ne devra pas dépasser six mois, soit au plus tard fin mars 2021.
La Cnil annonce qu’elle tiendra compte des difficultés opérationnelles des opérateurs pendant cette période durant laquelle elle privilégiera l’accompagnement sur les contrôles, elle se réserve la possibilité de poursuivre certains manquements, notamment en cas d’atteinte particulièrement grave au droit au respect de la vie privée (CE, 16 octobre 2019, n° 433069, Rec.). En outre, la Cnil continuera à poursuivre les manquements aux règles relatives aux cookies antérieures à l’entrée en vigueur du RGPD, éclairées par sa recommandation du 5 décembre 2013.