Nouvelles règles pour les cookies et autres traceurs : bilan de l’accompagnement de la CNIL et actions à venir

02 avril 2021

Le délai accordé pour mettre en conformité les sites et applications mobiles aux règles en matière de traceurs a pris fin le 31 mars 2021. La CNIL rappelle les éléments clés de la règlementation sur lesquels elle a focalisé ses efforts d’accompagnement pendant cette période et présente les actions à venir.

Une évolution nécessaire des interfaces de recueil des choix 

L’évolution des règles applicables, clarifiées par les lignes directrices et la recommandation de la CNIL, marque un tournant et un progrès pour les internautes, qui pourront désormais exercer un meilleur contrôle sur les traceurs en ligne.

Des internautes clairement informés des finalités des traceurs

Désormais, l’ensemble des usages liés aux traceurs doit être présenté à l'utilisateur au moment où celui-ci doit faire son choix. Pour des raisons de clarté et de concision, une première description peut être limitée à une brève présentation des objectifs poursuivis par les cookies (premier niveau d’information) suivie par une description plus détaillée (second niveau d’information).

Refuser les traceurs doit être aussi simple que les accepter

L’internaute doit consentir au dépôt de traceurs par un acte positif clair, comme le fait de cliquer sur « J’accepte » dans une bannière cookie. Son silence, qui peut passer par la simple poursuite de la navigation, doit dorénavant s’interpréter comme un refus : aucun traceur non essentiel au fonctionnement du service ne pourra alors être déposé sur son appareil.

La CNIL a également estimé que l’intégration d’un bouton « Tout refuser » sur le même niveau et sur le même format que le bouton « Tout accepter » permet d’offrir un choix clair et simple pour l’internaute. Il est aussi possible, par exemple, d’offrir explicitement à l’internaute la possibilité de refuser les traceurs en fermant le bandeau cookies. En revanche, la seule présence d’un bouton « Paramétrer » en complément du bouton « Tout accepter » tend, en pratique, à dissuader le refus et ne permet donc pas de se mettre en conformité avec l’article 82 de la loi Informatique et Libertés tel qu’éclairé par les exigences posées par le RGPD en matière de consentement.

Les murs de traceurs (« cookie walls ») : une pratique licite ?

La pratique des cookie walls revient à conditionner l’accès à un site à l’acceptation du dépôt de traceurs.

Dans l’attente d’une clarification pérenne sur cette question par le législateur européen, la CNIL appliquera les textes en vigueur, tels qu’éclairés par la jurisprudence, pour déterminer au cas par cas si le consentement des personnes est libre et si un cookie wall est licite ou non. Elle sera, dans ce cadre, très attentive à l’existence d’alternatives réelles et satisfaisantes, notamment fournies par le même éditeur, lorsque le refus des traceurs non nécessaires bloque l’accès au service proposé.

Cookie walls : décision du Conseil d’État et futur règlement ePrivacy

La CNIL avait estimé que l’internaute ne devait pas subir d’inconvénients en cas d’absence ou de retrait du consentement et avait estimé la pratique des cookie walls illicite, en suivant la doctrine du Comité européen de la protection des données personnelles (CEPD), réunissant l’ensemble des CNIL européennes.

Par sa décision du 19 juin 2020, le Conseil d’État a jugé que la CNIL ne pouvait interdire de manière générale et absolue le fait de conditionner l’accès à un site web à la possibilité d’exploiter des données à des fins de ciblage publicitaire.

Plus récemment, le CEPD a publié une déclaration relative au projet de futur règlement ePrivacy dans laquelle il considère les utilisateurs devraient toujours se voir proposer des alternatives équitables par le même fournisseur de service et ce, indépendamment du secteur d’activité et du modèle économique de l’éditeur.

L’investissement de la CNIL pour accompagner le changement

L’objectif prioritaire de la CNIL a été, compte tenu des enjeux pour les personnes, la mise en conformité complète et durable des acteurs. Elle a ainsi privilégié, dans un premier temps, une approche progressive d’accompagnement visant à clarifier les règles applicables qui a conduit, le 1er octobre 2020, à la publication de lignes directrices modificatives ainsi que d’une recommandation sur les cookies et autres traceurs, à l’issue d’une concertation puis d’une consultation publique.

À la suite de la publication de ces outils, la CNIL a conduit de nombreuses actions pour accompagner les professionnels concernés.

Dix-huit webinaires pour les professionnels du secteur privé et public

Entre novembre 2020 et février 2021, 18 webinaires ont été organisés afin de répondre aux questions, aussi bien juridiques que techniques, de nombreux professionnels du secteur privé et public (éditeurs, annonceurs, e-commerçants, secteur public, fournisseurs de solution, associations sectorielles, etc.). Ces webinaires ont permis à la CNIL de compléter sa foire aux questions dédiée aux cookies et autres traceurs.

De nombreux conseils pratiques et outils disponibles sur le site de la CNIL

La CNIL propose de nombreux conseils pratiques et outils accessibles sur son site web et notamment :

  • des fiches pratiques visant à synthétiser les éléments clés de la règlementation ;
  • une démarche d’évaluation permettant, aux fournisseurs de solution de mesure d’audience, de vérifier si leur solution est effectivement exemptée de recueil du consentement ;
  • le logiciel CookieViz, qui permet de visualiser les cookies déposés depuis des domaines tiers lors de la visite d’un site ;
  • une vidéo pédagogique qui explique les changements des règles pour les internautes.

Une campagne de sensibilisation des organismes publics et privés 

La CNIL a adressé à près de 200 collectivités, ministères et opérateurs de l’État, des courriers et courriels de sensibilisation pour les inciter à procéder à un audit de leurs sites et applications mobiles afin d’engager si nécessaire, et au plus vite, des actions permettant de répondre aux exigences de la réglementation.

Par ailleurs, la CNIL a mis en place un observatoire visant à analyser périodiquement les pratiques en matière de dépôt de cookies des 1 000 sites à plus forte audience en France, en analysant les cookies déposés sur la première page vue par un internaute. Sur la base de résultats obtenus et pour sensibiliser aux risques encourus en cas de non-conformité, la CNIL a décidé de s’adresser par courrier à une centaine d’acteurs privés, sites web à forte audience en France, qui déposaient des cookies sans consentement préalable.

Une thématique prioritaire de contrôle en 2021 

La CNIL va désormais réaliser des contrôles pour évaluer l’application des règles relatives aux traceurs, en application de l’article 82 de la loi Informatique et Libertés et des articles 4.11 et 7 du RGPD sur le consentement, telles que synthétisées dans ses lignes directrices.

Par cette action, la CNIL entend répondre aux attentes des internautes de plus en plus sensibles aux problématiques de traçage sur internet, comme en témoignent les plaintes constantes qu’elle reçoit sur ce sujet.

Si des manquements sont constatés à l’issue de contrôles ou de plaintes, la CNIL pourra utiliser l’ensemble des moyens mis à sa disposition dans sa chaîne répressive et prononcer, si nécessaire, des mises en demeure ou des sanctions publiques.