La CNIL lance une consultation publique sur son projet de recommandation « cookies et autres traceurs »

14 janvier 2020

Dans le cadre de son plan d’action sur le ciblage publicitaire, la CNIL propose une consultation sur un projet de recommandation concernant des modalités pratiques de recueil du consentement de l’internaute pour les opérateurs utilisant des traceurs.

Le 4 juillet 2019, la CNIL a publié des lignes directrices sur l’application de l'article 82 de la loi du 6 janvier 1978. Cet article encadre les actions visant à accéder ou à inscrire des informations dans le terminal d'un utilisateur, c’est-à-dire notamment le dépôt ou la lecture de cookies ou d’autres traceurs lorsque l’internaute se rend sur un site internet. Ces traceurs peuvent par exemple servir à mesurer l’audience du site, à adresser de la publicité, ou à interagir avec des réseaux sociaux. Lorsqu’ils ne sont pas strictement nécessaires au fonctionnement du site visité, ces cookies ne peuvent être déposés qu’avec le consentement de l’utilisateur.

Comme annoncé dans son communiqué du 28 juin dernier, la CNIL a conduit une concertation pendant l’automne 2019, afin d’élaborer un projet de recommandation proposant des modalités opérationnelles de recueil du consentement.

Ce projet est soumis à consultation publique jusqu’au 25 février, en vue de la préparation de la version définitive de la recommandation.

Pourquoi la CNIL a-t-elle décidé de s’intéresser aux cookies et autres traceurs ?

Un cadre juridique qui a évolué

Le règlement général sur la protection des données (RGPD) a renforcé les exigences en matière de validité du consentement. Par exemple, la simple poursuite de la navigation sur un site web ne peut plus être regardée comme une expression valide du consentement au dépôt de cookies, qui doit désormais résulter d’un acte positif univoque de l’internaute. Par ailleurs, le RGPD prévoit expressément que les acteurs doivent être en mesure de prouver qu’ils ont effectivement recueilli un consentement valide des internautes.

Un enjeu de protection des données très fort pour les personnes

Le profilage publicitaire en ligne peut être massif et perçu comme intrusif.  

La CNIL a ainsi reçu de nombreuses plaintes individuelles et collectives (La Quadrature du Net, Privacy International, NOYB) relatives au marketing en ligne. Ces plaintes sont le reflet d’une véritable prise de conscience de l’ensemble des citoyens européens quant à l’exploitation de leurs données en ligne. La CNIL a pour mission de traiter ces plaintes et, plus généralement, de veiller à la bonne application des textes en combinant des outils d’accompagnement des professionnels (tels que ses lignes directrices et le projet de recommandation) et le recours, le cas échéant, à ses pouvoirs d’investigation.

Une demande de lisibilité de la part des professionnels

Les professionnels du secteur du marketing en ligne cherchent aussi à mieux comprendre leurs obligations issues du RGPD (texte général protégeant les données à caractère personnel) et de la directive « vie privée et communications électroniques » (directive « ePrivacy », texte spécifique encadrant, notamment, les opérations de dépôt et de lecture de traceurs).

Ils ont notamment fait part d’un besoin de recommandations pratiques, en matière d’information des internautes, sur la manière de concilier les exigences de clarté et de concision, d’une part, avec la nécessité de délivrer une information complète, d’autre part.

Une question systémique

Enfin, l’écosystème de la publicité en ligne est complexe ; la très grande majorité des sites web et des applications mobiles est concernée par ces questions de conformité, qu’ils soient édités par des acteurs publics ou privés. C’est pour cette raison que la CNIL a souhaité entreprendre une action d’ensemble, en deux temps : adoption de lignes directrices, en juillet dernier, puis mise en chantier de recommandations opérationnelles.

Quelle est la perception des Français sur les cookies ?

À l’occasion de la publication de son projet de recommandation sur les cookies et autres traceurs, la CNIL a demandé à l’IFOP de réaliser une étude auprès de 1000 personnes.*

Il ressort de cette étude que les cookies bénéficient d’une forte notoriété auprès des Français qui sont 95 % à savoir ce que sont les cookies et 67 % qui le savent plutôt précisément.

Ils estiment, par exemple, que les cookies sont paramétrés en fonction de l’ensemble de leurs comportements de navigation et pas seulement de la page qu’ils consultent.

Les personnes interrogées expriment un besoin de transparence et de contrôle.

D’une part, 70% des personnes estiment qu’il est indispensable de leur demander leur accord pour utiliser leurs données de navigation via les cookies, même si cela prend un peu plus de temps. D’autre part, 90 % des personnes interrogées souhaitent savoir quelles sont les entreprises susceptibles de suivre leur navigation et jugent insuffisantes les informations actuellement disponibles à ce sujet. 

Dans les faits, les personnes donnent leur consentement (76 %), et n’expriment aucune opposition de principe aux cookies en tant que tels, notamment pour la mesure d’audience et la personnalisation du contenu.

65% des personnes indiquent cependant avoir déjà accepté alors qu’elles n’étaient pas tout à fait d’accord ou qu’elles n’arrivaient pas à exprimer leur refus.

Toutefois, les demandes d’autorisation actuelles ne sont pas jugées efficaces par 65 % des personnes interrogées. Le fait de demander l’autorisation d’utiliser les données de navigation ne suffit pas à régler tous les risques inhérents à la protection de la vie privée.

Elles souhaitent également que la demande de consentement soit renouvelée à intervalle régulier (3/4 des personnes souhaite qu’une nouvelle demande de consentement soit faite tous les 3 mois)

Quelle articulation avec les lignes directrices du 4 juillet 2019 ?

Les lignes directrices du 4 juillet dernier visent à synthétiser le droit applicable.

Afin d’accompagner les professionnels concernés dans la mise en place de solutions conformes de recueil du consentement, la CNIL a souhaité compléter celles-ci de recommandations pratiques qui traduisent une application concrète de la réglementation.

Quel est l’objet du projet de recommandation ?

Le projet de recommandation s’adresse aux organismes privés et publics dès lors qu’ils procèdent aux opérations de lecture et/ou d’écriture sur le terminal d’un utilisateur visées par l’article 82 de la loi.

La recommandation n’a pas vocation à être prescriptive. Elle vise essentiellement à formuler des recommandations pratiques sur la manière de traduire opérationnellement les exigences des textes dans la présentation des interfaces utilisateurs.

Elle a également pour objectif de proposer des exemples concrets de mise en œuvre de la réglementation. Ces exemples ne sont pas non plus exhaustifs. Ils ont pour seul objectif d’accompagner les professionnels concernés dans la mise en place de solutions conformes de recueil du consentement.

Ainsi, au-delà des exemples donnés, d’autres méthodes de recueil du consentement peuvent être utilisées par les professionnels, sous réserve que celles-ci permettent effectivement d’obtenir un consentement conforme aux textes en vigueur, tel que rappelé dans les lignes directrices relatives aux cookies et autres traceurs.

Pour les acteurs souhaitant se démarquer en offrant une protection renforcée à leurs utilisateurs, la CNIL propose également un certain nombre de bonnes pratiques allant au-delà du strict respect des obligations imposées par la loi

Quel est le processus d’élaboration ?

Le projet de recommandation a été élaboré par la CNIL à la suite d’une concertation engagée avec, d’une part, des organisations représentatives des professionnels de l’écosystème de la publicité en ligne et, d’autre part, des organisations représentatives de la société civile. Cette concertation a permis de recueillir leurs points de vue et leurs réflexions, dans le but d’identifier des modalités d’application de l’article 82 de la loi à la fois respectueuses de la vie privée et pragmatiques.

Quel est le calendrier de la consultation ?

La CNIL a décidé d’engager une consultation publique sur le projet de recommandation. Cette consultation, disponible pendant 6 semaines, prendra fin le 25 février. À l’issue de cette période, une nouvelle version du projet de recommandation sera présentée aux membres de la CNIL réunis en séance plénière pour adoption définitive.

Dans le cadre de la consultation, le projet de recommandation est complété de visuels. Ces derniers ne sont que des exemples ayant vocation à illustrer les recommandations de la CNIL afin de faciliter la lecture du projet.


La consultation est terminée


*sondage réalisé par questionnaire auto-administré en ligne du 3 au 4 décembre auprès d’un échantillon de 1 005 personnes représentatif de la population française âgée de 18 ans et plus.