Blog Données personnelles
Nouvelles lignes directrices de la CNIL sur les cookies : comment les utiliser à l’heure du RGPD ?
Dans une délibération n°2019-093 du 4 juillet 2019, la CNIL a adopté de nouvelles lignes directrices sur la gestion des cookies et traceurs utilisés dans le cadre de services de communications électroniques.
Précisant les conditions d’application de l’article 82 de la loi Informatique et Libertés modifiée [1] cette délibération abroge l’ancienne délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’ancien article 32-II de la loi du 6 janvier 1978.
La principale nouveauté introduite par ces lignes directrices concerne les modalités de recueil du consentement. Désormais, « les traceurs nécessitant un recueil du consentement ne peuvent être utilisés en écriture ou en lecture tant que l’utilisateur n’a pas préalablement manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair » (article 2 de la délibération du 4 juillet 2019).
En pratique, cela signifie que : « Le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable » (article 2 de la délibération du 4 juillet 2019). De même, l’acceptation des conditions générales d’utilisation ne peut être une modalité valable de recueil du consentement.
En outre, le consentement doit être donné de manière indépendante et spécifique pour chacune des finalités. En conséquence, l’acceptation globale pour chacune des finalités n’est recevable qu’à condition que l’éditeur offre à la personne concernée la faculté alternative de consentir de manière spécifique.
Concernant les traceurs ne nécessitant pas le recueil du consentement, en particulier les mesures d’audience, l’éditeur doit offrir à l’utilisateur la faculté de s’opposer à leur dépôt. En tout état de cause, la nouvelle délibération de la CNIL impose à l’éditeur d’informer la personne concernée de leur existence et de leur finalité, même lorsque le recueil du consentement n’est pas obligatoire.
Dans son communiqué du 18 juillet 2019, la CNIL précise que ces nouvelles lignes directrices « seront suivies d’une nouvelle recommandation, qui précisera les modalités pratiques de recueil du consentement ».
Cette recommandation ne sera adoptée qu’après une phase de concertation avec les professionnels et la société civile, puis une consultation publique, avant qu’enfin elle ne soit publiée au cours du premier trimestre 2020, en laissant une « période d’adaptation » aux éditeurs qui auront au moins jusqu’en juillet 2020 pour s’aligner sur les nouvelles règles.
Cette « période d’adaptation » a été contestée par la Quadrature du Net qui s’oppose au fait d’« attendre juillet 2020 pour commencer à sanctionner les sites internet qui déposent des cookies sans respecter les nouvelles conditions du RGPD pour obtenir notre consentement ». En réponse, la CNIL rappelle dans son communiqué du 18 juillet 2019 que le fait que les lignes directrices opérationnelles adaptées au RGPD ne soient pas publiées n’empêche pas l’application de ce règlement, ni les contrôles à ce sujet.