Maddyness

Nouvelles lignes directrices de la CNIL sur les cookies : qu’est-ce qui change ?

Comments
Partager :
Up
Partie précédente
1 —
Partie suivante
Down
Maddyness
Up
Menu
Partie 1
Down
Technologies

Nouvelles lignes directrices de la CNIL sur les cookies : qu’est-ce qui change ?

Pepper Pepper Pepper
6273 - piping hot  |  
Comments
Par Ariane Mole et Juliette Terrioux - 10 septembre 2019 / 08H00

La CNIL a adopté le 4 juillet 2019 de nouvelles lignes directrices sur les cookies et autres traceurs. Des obligations plus strictes s’imposent désormais à tous les éditeurs de sites internet pour le recueil du consentement des internautes, et remplacent les règles qui s’appliquaient jusqu’à présent.

Les cookies et autres traceurs font l’objet d’une règlementation au niveau européen depuis 2009 avec la directive dite « ePrivacy » qui a été transposée en France dans la loi Informatique et Libertés. Selon ces textes, le dépôt de cookies ou autres traceurs ou l’accès aux informations stockées par les cookies et autres traceurs déposés sur le terminal d’un utilisateur, nécessitent (i) une information claire et complète de l’utilisateur sur la finalité des cookies et sur les moyens de s’y opposer (ii) et son consentement préalable.

Seule exception : les cookies techniques ou qui sont strictement nécessaires pour la fourniture d’un service expressément demandé par l’utilisateur (par exemple les cookies panier d’achat, cookies choix de langue, etc.) sont exemptés de consentement. Aucun autre dépôt de cookies ne peut se faire sans le consentement préalable de l’utilisateur. 

Pourquoi de nouvelles lignes directrices ?

La CNIL dans ses précédentes lignes directrices de 2013 faisait prévaloir une interprétation encore relativement souple de la notion de consentement. La procédure consistait en deux étapes :

(1) Tout d’abord un bandeau devait avertir l’utilisateur en cas de dépôt de cookies, lui donner la possibilité de s’y opposer via un lien présent sur le bandeau, et dès lors la poursuite de la navigation valait accord au dépôt des cookies sur son terminal.

(2) Il fallait également prévoir une page spécifique relative aux cookies avec plus d’informations et où l’utilisateur pouvait s’il le souhaitait accepter ou refuser les cookies, catégories de cookies par catégories de cookies.

C’est ce recueil du consentement via la poursuite de la navigation qui n’est plus reconnu comme valide : il faut désormais que l’internaute dise clairement oui ou non, et  aucun accord tacite n’est possible. C’est ce que souligne la CNIL dans ses nouvelles lignes directrices à destination de tous les éditeurs de site internet.

A lire aussi

Ce changement de pratique de la CNIL résulte d’une part de la nouvelle définition du consentement donné par le RGPD, et d’autre part d’une interprétation plus stricte au niveau européen (groupe  européen dit G29 réunissant les autorités européennes de protection des données personnelles, désormais remplacé par le Comité Européen de Protection des Données) concernant cette notion de consentement.

En effet, le RGPD requiert désormais qu’un consentement pour être valide soit libre, spécifique, éclairé et univoque et exprimé par une déclaration ou par un acte positif clair. Le G29 en a conclu que le fait de « faire défiler ou naviguer sur un site Internet ne satisfait pas à l’exigence d’un acte positif clair ». La poursuite de la navigation ne peut plus constituer un consentement valable. 

La CNIL à l’instar de l’autorité anglaise de protection des données personnelles (ICO) a donc pris acte dans ses nouvelles lignes directrices de ce durcissement sur la validité du consentement.

Qu’est-ce qui change / Qu’est-ce qui ne change pas dans les nouvelles lignes directrices de la CNIL ? 

 

Nouvelles exigences

Exigences maintenues

Exigence d’une action positive de la part de l’utilisateur pour exprimer son consentement : aucun accord tacite n’est possible et la poursuite de sa navigation ne suffit plus 

Obligation de recueillir le consentement avant tout dépôt de cookies 

L’éditeur peut choisir de recueillir un consentement global (même s’il reste tenu de permettre à l’utilisateur de donner son consentement pour chaque finalité de cookies)

Exception au recueil du consentement pour certaines catégories de cookies

Obligation de mettre à disposition de l’utilisateur la liste des partenaires ayant recours aux cookies

Pas de cases d’acceptation pré cochées et pas de consentement via l’acceptation des CGU

Il ne suffit pas d’offrir à l’utilisateur la possibilité de paramétrer son navigateur pour s’opposer aux cookies

Obligation d’informer l’utilisateur de chaque finalité et de lui permettre d’accepter ou de refuser, finalité par finalité de cookies

Règles plus strictes concernant les cookies de mesure d’audience même s’ils sont exemptés du  recueil préalable de consentement

Interdiction de bloquer l’accès au site internet ou à l’application pour les utilisateurs qui ne consentent pas au dépôt de cookies (=interdiction de la pratique dite du « cookie wall »)

Quand faudra-t-il mettre son site en conformité avec les nouvelles lignes directrices de la CNIL?

Selon le communiqué de presse de la CNIL en date du 28 juin, la CNIL laisse aux éditeurs de sites une période transitoire de 12 mois pour se mettre en conformité. La CNIL précise ensuite dans son communiqué du 18 juillet que cette période d’adaptation s’achèvera 6 mois après la publication de la future recommandation, prévue au premier trimestre 2020 – soit jusqu’à juillet/septembre 2020 -, concernant les modalités pratiques de recueil du consentement.

Pendant cette période, la poursuite de la navigation comme expression du consentement restera donc acceptable. Par prudence, plusieurs sites ont toutefois choisi de se conformer d’ores et déjà aux nouvelles obligations. 

Cette période transitoire est contestée par les associations la Quadrature du Net et Caliopen devant le Conseil d’Etat. Ce dernier a rejeté la demande – faite en référé – de suspension de cette décision mais une audience au fond est prévue le 30 septembre 2019.

La CNIL doit par ailleurs, à partir du mois de septembre 2019, rencontrer les différents acteurs du marché afin de discuter de ces modalités pratiques de recueil du consentement, ce qui devrait faire l’objet de cette nouvelle recommandation de la CNIL. Affaire à suivre…

Ariane Mole est avocate associée et Juliette Terrioux est avocate du cabinet Bird & Bird

Par

Ariane Mole et Juliette Terrioux

10 septembre 2019 / 08H00
mis à jour le 09 septembre 2019
Articles les plus lus du moment
Nos derniers articles

Entrepreneur·e·s, comment mieux gérer votre temps ?

Entrepreneurs
Par Mickaël Cabrol et Hubert Reynier - 21H00lundi 18 novembre 2019
Next

Que font les fonds : le portrait d'Experienced Capital

Finance
Par Iris Maignan - 17H00lundi 18 novembre 2019
Next
Business
Menu
Entrepreneurs
Menu
Finance
Menu
Innovation
Menu
Technologies
Menu
MaddyShop
MaddyShop
Agenda
Agenda
MaddyEvent
MaddyEvent
MaddyJobs
MaddyJobs
MaddyStudio
MaddyStudio
Search
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Articles les plus consultés
Les guides
Entreprises Structures d’accompagnement MaddyBasics
Maddyplay
Newsletter
À propos
Mentions Légales
Search
Nos services
Les catégories
Maddynews
Hmm... Il y a visiblement eu un soucis :(
Maddyness

Comme vous le savez, Maddyness est à la pointe de l'innovation.
Malheureusement il semble que votre navigateur ne le soit pas encore...

Pour une bonne expérience de navigation
(et être au top de la modernité) pensez à passer sur :
Chrome
Chrome
Safari
Safari
Firefox
Firefox
Edge
Edge