Il y a peu, il était encore difficile de naviguer entre les règles à suivre pour assurer la conformité d’un site à la réglementation en matière de cookies. Les dernières recommandations de la CNIL de septembre 2020 - qu’on aime ou pas - offrent une lecture claire et un mode d’emploi. Ces dernières lignes directrices sont d’autant plus importantes qu’elles mettent fin au temps de la sensibilisation : les entreprises ont jusqu’au 31 mars 2021 pour rentrer dans les clous. Des campagnes ont d’ailleurs été lancées récemment par la CNIL afin de rappeler aux entreprises cette date butoir. L’avertissement est sans ambiguïté, à compter du 1er avril, la CNIL fera preuve de moins de clémence envers les retardataires et elle a même confirmé dans un récent communiqué que le respect des règles applicables aux cookies fera partie de ses thématiques prioritaires de contrôle en 2021.

Mais ces dernières lignes directrices mettent-elles vraiment fin aux hésitations ? Concrètement, que doivent faire les entreprises pour respecter les nouvelles exigences de la CNIL ?

Redonner à l’internaute un contrôle renforcé sur ses préférences

L’obligation d’informer et de collecter le consentement des internautes sur le placement de cookies et autres traceurs est dictée depuis longtemps par la directive Européenne vie privée et communications électroniques (appelée “ePrivacy”), transposée en droit français au sein de la loi Informatique et Libertés. Mais la manière d’informer et de collecter le consentement des utilisateurs a fait l’objet d’évolutions.

En 2013, les lignes directrices de la CNIL étaient plus souples. "Auparavant, il était d’usage de considérer que l’utilisateur avait consenti à l’utilisation de cookies, dès lors qu’il poursuivait sa navigation sur le site et ce, après le simple affichage d’un bandeau l’informant de l’utilisation de cookies", rappelle Me Benjamin Znaty, avocat spécialisé en droit des nouvelles technologies au sein du cabinet Taylor Wessing.

Puis l’entrée en vigueur du RGPD en 2018, imposant un consentement libre, spécifique, éclairé et univoque, manifesté par un acte positif clair, a de facto créé une incompatibilité avec les anciennes recommandations de la CNIL qui s’est alors saisie du sujet. Mais les mesures qui en ont découlé en juillet 2019 ont été partiellement censurées par le Conseil d’Etat. Les dernières lignes directrices communiquées fin 2020 mettent enfin un terme à ces va-et-vient, en permettant aux internautes d’exercer un contrôle renforcé sur l’utilisation des cookies par les sites qu’ils visitent. Le consentement tacite du visiteur poursuivant sa navigation sur un site après l’affichage d’un simple bandeau n’est désormais plus possible et sera assurément sanctionné à partir du 1er avril 2021.

Non, tous les cookies ne sont pas "mauvais"

Les cookies sont des informations stockées dans les navigateurs internet qui peuvent permettre de suivre les internautes lors de leur navigation sur le Web par l’intermédiaire d’identifiants uniques” (selon la CNIL). Mais tous les cookies ne sont pas soumis à la règle du consentement. C’est le cas des cookies dits “fonctionnels” qui permettent d’offrir à l’utilisateur une expérience de navigation optimale. C’est notamment le cas des cookies qui permettent de conserver le panier d’achat de l’utilisateur tel qu’il l’avait laissé lors de sa précédente session.

En revanche, les cookies de mesures d’audience et publicitaires sont, quant à eux, dans le viseur de la CNIL. Ils permettent aux éditeurs de sites web de récolter des données liées au comportement des utilisateurs et à leurs habitudes de consommation afin d’orienter leurs actions et campagnes d’acquisition, ou de leur proposer des publicités ciblées. Ces cookies ne sont pas strictement nécessaires au bon fonctionnement d’un site. Leur collecte doit donc faire l’objet d’un consentement.

Concrètement, comment informer et recueillir le consentement des internautes ?

L’article 82 de la loi informatique et libertés prévoit une double obligation pour tout éditeur de site internet usant de cookies. Premièrement, informer l’internaute du placement de ces cookies, de leur finalité et des moyens dont il dispose pour s’y opposer, et deuxièmement, collecter son consentement (sauf pour les cookies fonctionnels) . "L’utilisateur doit être informé des raisons pour lesquelles des cookies sont utilisés, connaître l’identité des responsables de traitement, et les conséquences en cas d’acceptation ou de refus du placement des cookies. L’utilisateur devra avoir consenti à ces cookies par un acte positif clair (au moyen de cases que l’utilisateur pourra cocher ou décocher), mais aussi avoir la possibilité de choisir entre ceux qu’il accepte et ceux qu’il refuse. Par exemple, le visiteur pourra accepter les cookies de mesure d’audience mais refuser les cookies publicitaires. Les boutons de refus doivent être aussi visibles que ceux permettant leur collecte et le visiteur doit pouvoir modifier ou retirer son consentement à tout moment" , explique Me Benjamin Znaty.

Mais est-ce si simple à mettre en place pour les entreprises ?

Le bandeau servant à informer et recueillir le consentement des utilisateurs au placement de cookies devient aujourd’hui plus complexe. Ces complexités sont aussi bien juridiques que techniques, c’est pourquoi il est recommandé d’intégrer directement sur le site une plateforme de gestion de consentements (Consent Management Plateform - CMP) pour respecter techniquement les obligations de la CNIL.

Mais cet outil en lui seul ne suffit pas à assurer la conformité d’un site. "Un tel outil permet de centraliser et gérer le consentement des internautes, mais il ne garantit pas que les mentions présentes soient suffisamment précises pour répondre aux exigences strictes de la CNIL. Seules les compétences d’un expert de la réglementation applicable permettent une configuration optimale et conforme de ces outils" , préconise Me Benjamin Znaty.

Il devient donc nécessaire pour les entreprises qui ne l’ont pas encore fait de se
saisir rapidement du sujet pour se mettre en conformité, tout en réfléchissant à
des solutions qui ne nuisent pas à l’expérience utilisateur.

Philippe Wagner, cofondateur de la legaltech Captain Contrat