Cookies et autres traceurs : la CNIL publie de nouvelles lignes directrices

18 juillet 2019

Dans le cadre de son plan d’action sur le ciblage publicitaire, la CNIL a adopté des lignes directrices sur les cookies et autres traceurs. Ces lignes directrices rappellent le droit applicable. Elles seront complétées, début 2020, par une recommandation afin d’éclairer les opérateurs sur les modalités pratiques de recueil du consentement de l’internaute.

L’article 82 de la loi « Informatique et Libertés » transpose en droit français la directive 2002/58/CE « vie privée et communications électroniques » (ou « ePrivacy »). Il prévoit notamment l’obligation, sauf exception, de recueillir le consentement des utilisateurs avant toute opération d’écriture ou de lecture de cookies et autres traceurs. La CNIL avait adopté, en 2013, une recommandation pour guider les opérateurs dans l’application de cet article.

L’entrée en application du règlement général sur la protection des données (RGPD), le 25 mai 2018, est cependant venue renforcer les exigences en matière de validité du consentement.

Aussi, sans attendre le futur règlement « vie privée et communications électroniques », actuellement en discussion au niveau européen et qui n’entrera pas en application à court terme, la CNIL a entrepris d’actualiser ses cadres de référence, dans l'intérêt des utilisateurs. Il était notamment nécessaire d’abroger la recommandation de 2013, qui n’était pas compatible avec les nouvelles dispositions du RGPD.

Les lignes directrices adoptées le 4 juillet, qui visent à synthétiser le droit désormais applicable, constituent le socle du plan d’action de la CNIL annoncé le 28 juin dernier. Elles seront suivies d’une nouvelle recommandation, qui précisera les modalités pratiques de recueil du consentement. Le projet de recommandation sera élaboré à l’issue d’une concertation avec les professionnels et la société civile, qui se déroulera dans les prochains mois. Il fera ensuite l’objet d’une consultation publique. La recommandation définitive sera publiée au premier trimestre 2020.

Comme la CNIL l’a indiqué, une période d’adaptation, s’achevant six mois après la publication de la future recommandation, sera laissée aux acteurs afin de leur donner le temps d’intégrer les nouvelles règles.

Les principales nouveautés sont de deux ordres. D’une part, la simple poursuite de la navigation sur un site ne peut plus être regardée comme une expression valide du consentement au dépôt de cookies. D’autre part, les opérateurs qui exploitent des traceurs doivent être en mesure de prouver qu’ils ont bien recueilli le consentement.

Pour ces dispositions nouvelles, le délai laissé aux opérateurs qui respectaient jusqu’à présent la recommandation de 2013 tient compte de l’exigence juridique de prévisibilité, en cas de changement des règles applicables, résultant notamment de la Convention européenne des droits de l’homme. Ce délai vise surtout à garantir une mise en conformité aux règles protégeant la vie privée des utilisateurs selon un standard robuste et durable fixé par le régulateur.

Cette période d’adaptation n’empêchera pas la CNIL de contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et, le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes. En particulier, les opérateurs doivent respecter le caractère préalable du consentement au dépôt de traceurs. Ils doivent laisser la possibilité d’accéder au service même en cas de refus de consentir. Ils doivent fournir un dispositif de retrait du consentement facile d’accès et d’usage.