Questions-réponses sur les lignes directrices modificatives et la recommandation « cookies et autres traceurs » de la CNIL

Les lignes directrices de la CNIL sur les cookies et autres traceurs visent à rappeler le droit applicable aux opérations de lecture ou d’écriture dans le terminal (ordiphone, ordinateur, tablette, etc.) d'un internaute.

L’objectif de la recommandation est de guider les professionnels concernés dans leur démarche de mise en conformité, sans toutefois être prescriptive. Elle propose des exemples de modalités pratiques permettant de recueillir un consentement conforme aux règles applicables mais également de répondre aux exigences posées par l’article 82 de la loi Informatique et Libertés.

Les lignes directrices du 4 juillet 2019 ont notamment été ajustées pour tenir compte de la décision du Conseil d’État du 19 juin 2020.

L’entrée en application du règlement général sur la protection des données (RGPD), le 25 mai 2018, est venue apporter des clarifications sur les conditions d’obtention du consentement et sur la nécessité d’en démontrer le recueil. Les principales nouveautés par rapport à la recommandation de 2013 sont les suivantes :

• La simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute à l’utilisation de traceurs. La recommandation donne plusieurs exemples de pratiques permettant un recueil univoque du consentement.
• La recommandation propose différentes modalités pratiques de recueil du consentement ainsi que du refus de l’utilisateur.
• Elle recommande plusieurs façons permettant aux acteurs de fournir l’identité des responsables du ou des traitements auxquels la personne donne son consentement.
• Elle vient proposer des modalités pratiques par lesquelles les responsables du ou des traitements qui déposent des traceurs peuvent apporter la preuve du consentement.

Les sites utilisant des cookies et autres traceurs feront l’objet d’actions de mise en conformité au cours de l’année 2021. Le plan d’action de la CNIL comporte deux phases :

• La première phase, entamée en octobre 2020 lors de la publication des lignes directrices et de la recommandation, a concentré les actions de la CNIL sur le respect des principes précédemment exposés dans la recommandation de 2013. Des mesures correctrices, y compris des sanctions, pourront être adoptées en cas de non-respect des obligations dont le périmètre est précisé depuis 2013 et qui perdurent dans les nouvelles lignes directrices.
• Dans la seconde phase, à partir d’avril 2021, des missions de contrôle sur l’application de l’ensemble du cadre juridique en vigueur, éclairé par les nouvelles lignes directrices, seront réalisées.

Conformément à la jurisprudence du Conseil d’État, la CNIL est à tout moment en mesure de poursuivre des manquements portant une atteinte particulièrement grave au droit à la protection des données et au respect de la vie privée (CE, 16 oct. 2019, n° 433069, Rec.).

L’article 82 de la loi Informatique et Libertés est la transposition nationale des dispositions de l’article 5(3) de la directive 2002/58/CE du 12 juillet 2002 dite « ePrivacy », modifiée en 2009.

En 2017 a été publiée une proposition de règlement de la Commission européenne visant à réviser cette directive. Cette révision avait été annoncée dès 2016 dans une perspective d’harmonisation avec le RGPD et s’inscrit dans le cadre des travaux menés sur la stratégie du marché unique numérique annoncée par la Commission européenne en mai 2015.

Alors que le Parlement a adopté sa position sur le texte fin 2017, les vingt-sept représentants des États membres se sont finalement accordés, le 10 février 2021, sur un mandat de négociation en vue de la révision de ces règles. L'accord intervenu permet au Conseil de l’Union européenne d'entamer les négociations avec le Parlement européen sur le texte définitif.

Oui.

Les lignes directrices et la recommandation concernent aussi bien les organismes privés que publics dès lors qu’ils sont soumis aux obligations de la loi Informatique et Libertés et qu’ils procèdent à des opérations de lecture et/ou d’écriture visées par l’article 82 de la loi.

Les dispositions de l’article 82 de la loi Informatique et Libertés, lues à la lumière de la directive « ePrivacy », ne s’appliquent pas à un intranet (réseau strictement interne à un organisme) car il ne s’agit pas d’un réseau de télécommunication ouvert au public.

De la même manière, l’article 82 précité ne s’applique pas aux extranets reposant sur un réseau privé virtuel (VPN) et donnant accès aux ressources internes d’un organisme.

En revanche, le simple fait qu’un service fourni par voie électronique soit soumis à authentification ne suffit pas à considérer que le réseau de télécommunication utilisé est privé.

Ainsi, un site web accessible après authentification (tel qu’un réseau social) entre pour sa part dans le champ de la directive ePrivacy.

Il appartient à tout organisme de mener une analyse au cas par cas du contexte dans lequel il met à disposition des ressources pour déterminer ses obligations.

Dans tous les cas, tout traitement de données personnelles mis en œuvre dans le cadre de la gestion d’un intranet ou d’un extranet devra respecter l’ensemble des dispositions du RGPD (information des personnes, base légale, etc.).

Les dispositions de l’article 82 de la loi Informatique et Libertés s’appliquent indépendamment du fait que les informations collectées par le biais de ces traceurs soient des données personnelles ou non.

La CNIL est chargée de veiller à la conformité de tout traitement de données relevant du champ d’application de la loi, qu’il concerne ou non des données personnelles. Or, les dispositions portant sur les traceurs se trouvent dans cette loi.

Oui, sous certaines conditions.

Il n’est pas nécessaire de recueillir le consentement de l’utilisateur, si ces traceurs sont strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur, conformément à l’article 82 de la loi Informatique et Libertés. La CNIL estime que la mesure d’audience peut être, dans une certaine limite, regardée comme strictement nécessaire au fonctionnement du site. Afin de se limiter à cela, la CNIL rappelle que les traceurs doivent :

• être strictement limités à la seule mesure d’audience sur le site pour le compte exclusif de l’éditeur ;
• servir uniquement à produire des données statistiques anonymes ;
• ne pas permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web ;
• ne pas permettre le recoupement des données avec d’autres traitements ou à ce que les données soient  transmises à des tiers.

Ces garanties sont rappelées à l’article 5 des lignes directrices « cookies et autres traceurs ». Tout responsable de traitement doit être en mesure de démontrer leur respect lorsqu’il recourt à une solution de mesure d’audience sans que le consentement de l’utilisateur ne soit recueilli.

Par ailleurs, les traitements de mesure d’audience restent, par nature, des traitements de données personnelles qui sont soumis à l’ensemble des obligations du RGPD.

En savoir plus sur les outils de mesure d’audience.

Seuls les traceurs de mesure d’audience strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur sont exemptés de consentement.

Afin de se limiter à ce qui est strictement nécessaire à la fourniture du service, ces traceurs doivent, en effet, servir uniquement à produire des données statistiques anonymes. Toutefois, d’autres garanties doivent également être mises en œuvre, tel que rappelé à la question 9.

Note : le caractère anonyme doit s’entendre au sens donné par la règlementation relative à la protection des données à caractère personnel. La pseudonymisation (simple suppression du nom ou d’autres données identifiantes) n’est pas une anonymisation au sens de la réglementation. Les autorités de protection des données européennes définissent trois critères qui permettent de s’assurer qu’un jeu de données est véritablement anonyme.

En savoir plus sur l'anonymisation de données.

Oui.

Consciente de la nécessité d’aider les acteurs à identifier les solutions de mesure d’audience dont les paramétrages permettent de se prévaloir de l’exemption au recueil du consentement, la CNIL met en œuvre un dispositif permettant aux fournisseurs de solutions de vérifier, auprès de ses services, la possibilité de se prévaloir d’une telle exemption.

L’objectif est d’identifier si les éléments de configuration disponibles peuvent permettre aux fournisseurs concernés de proposer à leurs clients une offre de mesure d’audience exemptée de recueil du consentement.

Elle publiera, sur son site web, la liste des solutions retenues.

Non.

Les traceurs utilisés pour la facturation des opérations d’affiliation n’entrent pas dans les exemptions de l’article 82 de la loi Informatique et Libertés, qui doivent être interprétées strictement. En effet, ces opérations n’ont pas pour finalité exclusive de permettre ou faciliter la communication par voie électronique et ne sont pas strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l’utilisateur.

La CNIL a listé, au sein de l'article 5 des lignes directrices « cookies et autres traceurs », les principaux traceurs qui, en l’état des pratiques portées à sa connaissance, sont exemptés de consentement.

Si les traceurs utilisés à des fins de lutte contre la fraude, de manière générale, n’entrent pas dans les exemptions prévues par l’article 82 de la loi Informatique et Libertés, la CNIL considère que cela peut être le cas dans certaines hypothèses particulières. Il en va notamment ainsi de ceux destinés à assurer la sécurité d’un mécanisme d’authentification de l’utilisateur (par exemple, en limitant les tentatives d’accès robotisées ou inattendues), qui peuvent être considérés comme nécessaires au service de communication en ligne demandé par l’utilisateur.

Si l’article 82 de la loi Informatique et Libertés n’impose pas d’informer les utilisateurs sur l’utilisation de tels traceurs, la CNIL recommande qu’ils soient informés de leur existence afin d’assurer une transparence pleine et entière sur ces opérations.

Il est à noter que cette information peut être délivrée au sein de la politique relative aux cookies.

Par ailleurs, et indépendamment des obligations de l’article 82, les personnes doivent être informées conformément au RGPD de tous les traitements de données à caractère personnel mis en œuvre par les éditeurs de sites ou d’application mobiles.

Non.

Si, sous le régime antérieur au RGPD, la CNIL considérait que la poursuite de la navigation permettait aux internautes, sous certaines conditions, d’exprimer leur consentement au dépôt de traceurs, elle doit aujourd’hui s’interpréter comme un refus de consentir. Dans ce cas, aucun traceur nécessitant le consentement de l’utilisateur ne peut être déposé ou lu sur son terminal.

En effet, le consentement de l’utilisateur doit se matérialiser par un acte positif clair comme, par exemple, un clic sur un bouton « tout accepter ». L’absence de manifestation claire de volonté d’accepter le dépôt de cookie doit s’entendre comme un refus.

Cette évolution notable découle de l’entrée en application du RGPD, qui impose désormais un consentement univoque de l’internaute.

Non.

En l’état de l’art, et sous réserve d’éventuelles évolutions futures, les possibilités de paramétrage des navigateurs et des systèmes d’exploitation ne peuvent, à elles seules, permettre à l’utilisateur d’exprimer un consentement valide.

Oui, sous certaines conditions.

Dans sa recommandation, la CNIL rappelle qu’en principe, il est nécessaire de conserver les choix exprimés par l’utilisateur, qu’il s’agisse de son consentement ou de son refus. Ainsi, durant sa navigation sur le site web, il n’aura pas à reformuler son choix de page en page.

De manière générale, il est donc recommandé d’enregistrer le choix exprimé par l’internaute pour ne pas le solliciter à nouveau pendant un certain laps de temps.

La durée de conservation des choix devra être appréciée au cas par cas (au regard de la nature du site web ou de l’application concernée et des spécificités de son audience). Généralement, une conservation des choix pendant une durée de 6 mois constitue une bonne pratique.

En général, les boutons de réseaux sociaux permettent à ces tiers de déposer ou de lire des traceurs sur le terminal de l’utilisateur pour des finalités autres que l’interaction avec le réseau social en question (finalités publicitaires, etc.).

Dans une telle hypothèse, le consentement de l’internaute est requis, conformément à l’article 82 de la loi Informatique et Libertés.

Certains éditeurs intègrent des contenus multimédias externes (par exemple, des vidéos hébergées par des fournisseurs tiers) ou des boutons de partage de réseaux sociaux dont l’accès ou l’activation (par exemple, la lecture de la vidéo) entraîne le dépôt et la lecture de traceurs, notamment publicitaires, par les fournisseurs de ces contenus (par exemple la plateforme qui héberge la vidéo).

Conformément à la règlementation applicable en matière de traceurs, l’éditeur devra s’assurer du recueil préalable du consentement de l’internaute qui souhaite accéder au contenu. Aucun traceur soumis au consentement ne pourra être déposé sur le terminal de l’internaute tant que ce dernier n’y aura pas valablement consenti.

L’éditeur pourra recueillir le consentement de deux manières :

• Au niveau du bandeau cookie qui apparait lorsque l’internaute arrive sur son site ou du gestionnaire cookies disponible sur le site. Si l’internaute donne son consentement à ce moment-là,  il n’aura pas à le renouveler à chaque fois qu’il souhaitera activer un contenu externe. En tout état de cause, le refus par l’internaute des cookies déposés par le fournisseur de contenus externes ne saurait bloquer l’accès au site de l’éditeur dans la mesure où l’internaute peut tout à fait naviguer sur le site en question sans souhaiter accéder aux contenus externes.
• De manière contextuelle, préalablement à l’activation du contenu, en demandant le consentement de l’utilisateur au sein d’une fenêtre dédiée.

La CNIL rappelle que l’internaute doit disposer d’une information claire concernant :

• le fait que l’activation du contenu externe, ou l’utilisation des boutons de partage, requiert de consentir au dépôt de traceurs en précisant la ou les finalité(s) des traceurs utilisés ainsi qu’un lien vers la politique de confidentialité, en français, du fournisseur du contenu externe ; 
• les conséquences attachées à un refus concernant le dépôt de traceurs, y compris l’éventuelle impossibilité d’accéder au contenu externe et dans cette dernière situation, une analyse au cas par cas devrait être réalisée pour garantir le caractère libre du consentement ;
• la possibilité de retirer, aisément et à tout moment, son consentement.

De manière générale, la CNIL invite l’ensemble des acteurs à s’assurer, chacun pour ce qui le concerne, que le dépôt de cookies consécutif à l’activation de contenus externes est réalisé conformément à la réglementation.

Afin que le consentement de l’utilisateur soit éclairé, l’ensemble des informations rappelées à l’article 2 des lignes directrices « cookies et autres traceurs » doit être disponible au moment de recueillir son choix. Il est recommandé, sur le premier niveau d’information, d’indiquer clairement les finalités des cookies, de permettre à l’utilisateur d’accéder à la liste des responsables du ou des traitements via, par exemple, un lien hypertexte ou un bouton accessible depuis le premier niveau d’information, de l’informer sur la possibilité de retirer le consentement à tout moment et, lorsque c’est pertinent, des conséquences découlant d’un refus des cookies.

La CNIL rappelle que l’information doit être complète, visible et mise en évidence. Afin de ne pas induire en erreur les utilisateurs, elle invite, par ailleurs, les responsables de traitement à s’assurer que les interfaces de recueil des choix n’intègrent pas de pratiques de design potentiellement trompeuses visant à ou susceptibles de biaiser le consentement des internautes.

Si la règlementation n’impose pas de permettre à l’utilisateur de faire un choix individuel pour chaque responsable de traitement, une telle possibilité peut permettre de lui donner plus de contrôle sur ses données.

En tout état de cause, la CNIL rappelle qu’il est nécessaire d’offrir à la personne concernée une information comprenant la liste exhaustive des responsables du traitement concernés par le dépôt et la lecture des traceurs soumis au consentement. En pratique, la CNIL recommande de faire figurer l'information sur l'identité des responsables de traitement au premier niveau d'information via un lien hypertexte ou un bouton accessible depuis ce niveau, renvoyant à cette liste ou au second niveau d'information.

Afin que leur consentement soit éclairé, les utilisateurs doivent pouvoir prendre connaissance de l'identité de l'ensemble des responsables du ou des traitements, y compris des responsables conjoints du traitement. La CNIL recommande d’intégrer un lien vers leur politique de confidentialité en complément de l’identité précise et des finalités poursuivies par chacun d’entre eux.

Enfin, la recommandation (section 2.3) propose des modalités pratiques de mise en œuvre de ces principes.

Toutes les finalités des traceurs doivent être présentées aux utilisateurs avant que ceux-ci ne se voient offrir la possibilité de consentir ou de refuser. La CNIL rappelle qu’il est essentiel de s’assurer que celles-ci soient formulées de manière intelligible, dans un langage adapté et suffisamment clair.

À cet égard, la CNIL recommande que chaque finalité soit mise en exergue dans un intitulé court et mis en évidence, accompagné d’un bref descriptif. Elle fournit, au paragraphe 13 de sa recommandation « cookies et autres traceurs », des exemples de finalités identifiées dans le cadre de la concertation ainsi que de la consultation publique menée sur la recommandation.

La CNIL souligne qu’il n’est pas nécessaire d’indiquer, sur le premier niveau d’information, toutes les opérations techniques ou tous les traceurs concourant à une même finalité précisément déterminée. Une description plus détaillée des finalités peut être mise à disposition de l’utilisateur (sous un bouton de déroulement, via un lien hypertexte mis à disposition au premier niveau d’information, etc.).

À titre d’exemple, l’utilisation de traceurs à des fins de « capping publicitaire », de lutte contre la « fraude au clic », de facturation de la prestation d’affichage ou encore de mesure des cibles ayant plus d’appétence à la publicité pour mieux comprendre l’audience, généralement utilisés pour l’affichage de la publicité personnalisée, peut être mentionnée dans cette information additionnelle dès lors que ces opérations concourent à cette finalité plus globale.

Oui.

L’utilisateur est libre de revenir sur sa décision à tout moment. Le principe général est qu’il doit être aussi simple de retirer son consentement que de le donner.

En pratique, il est recommandé que les solutions permettant à l’utilisateur de gérer et de retirer son consentement soient aisément accessibles tout au long de sa navigation, par exemple :

• par la mise à disposition d’un lien accessible à tout moment depuis le service concerné qui portera une dénomination descriptive telle que « gérer mes cookies » ;
• ou grâce à un module de paramétrage accessible sur toutes les pages du site au moyen d’une icône « cookie » (située par exemple en bas à gauche de l’écran).

De manière générale, pour assurer que le retrait du consentement puisse se faire simplement et à tout moment, il est recommandé que le mécanisme permettant de gérer et de retirer son consentement soit placé dans une zone qui attire l'attention de l’utilisateur ou dans des zones où il s'attend à le trouver, et que les visuels utilisés soient les plus explicites possibles.

La CNIL propose des exemples d’interfaces afin d’illustrer de manière concrète les propositions formulées dans la recommandation. Elle met également à la disposition des acteurs un exemple de bandeau permettant d’offrir un choix clair et simple à l’utilisateur.

Par principe, la délégation de sous-domaine n’est pas contraire à la règlementation en matière de protection des données personnelles. Il est cependant nécessaire de respecter les exigences en matière d’information (notamment s’agissant de l’identité du responsable du ou des traitements) et de recueil du consentement (lorsque cela est applicable).

Il est toutefois à noter que la mauvaise mise en œuvre d’un tel procédé peut conduire à des failles de sécurité. Concrètement, des tiers peuvent être en capacité de lire les jetons d’authentification stockés dans des cookies, ce qui peut être particulièrement sensible s’agissant de certains services en ligne (assurance, banque, etc.).

Le « cookie wall » consiste à bloquer l'accès à un site web ou à une application mobile pour l’utilisateur qui ne donnerait pas son consentement. Dans certains cas, cette pratique, également appelée « pay wall », conditionne cet accès à une contrepartie financière, comme un abonnement.

Le Conseil d'État a estimé, le 19 juin 2020, que la CNIL ne pouvait pas interdire, par principe, cette pratique.

Dans l’attente d’une clarification pérenne sur cette question par le législateur européen, la CNIL appliquera les textes en vigueur, tels qu’éclairés par la jurisprudence, pour déterminer au cas par cas si le consentement des personnes est libre et si un cookie wall est licite ou non. Elle sera, dans ce cadre, très attentive à l’existence d’alternatives réelles et satisfaisantes, notamment fournies par le même éditeur, lorsque le refus des traceurs non nécessaires bloque l’accès au service proposé.

La CNIL rappelle qu’il convient de distinguer :

• d’une part, le dépôt et la lecture des traceurs sur le terminal de l’utilisateur : l’application des dispositions de l’article 82 de la loi Informatique et Libertés à ces opérations de traitement impose le recueil préalable du consentement de l’utilisateur, sous réserve des exceptions applicables ;
• d’autre part, les traitements basés sur les informations issues de ces traceurs, qui doivent reposer sur l’une des bases légales prévues à l’article 6 du RGPD. Le Comité européen de la protection des données considère que le consentement sera, en général, la base légale la plus appropriée notamment dans le cadre des traitements mis en œuvre à des fins publicitaires. Il appartient toutefois, à chaque responsable du traitement, de déterminer, au cas par cas, la base légale la plus adaptée à son traitement de données.

Même lorsque le responsable de traitement considère que l’usage qu’il fera des données recueillies par les traceurs est fondé sur l’intérêt légitime, un tel traitement ne sera possible qu’en cas d’acceptation des traceurs pour les finalités spécifiées puisque, en cas de refus, les données ne peuvent être collectées.

En résumé, aucun traceur non essentiel ne peut être déposé sans consentement préalable de la personne concernée même si l’interface présente l’intérêt légitime comme base légale du traitement.

La publicité contextuelle recouvre l'ensemble des techniques publicitaires qui consistent à cibler une audience en fonction du contexte dans lequel se trouve l'individu exposé au message. Ainsi, contrairement à la publicité personnalisée, elle ne repose pas sur un suivi de la navigation de l’utilisateur.

Si le simple affichage de la publicité contextuelle ne nécessite pas, en principe, le recours à des traceurs, la CNIL constate que, dans de nombreux cas, des traceurs nécessitant le consentement de l’utilisateur sont utilisés afin de mesurer la performance de la publicité (par exemple des cookies de « capping », de mesure de l’audience publicitaire ou encore de lutte contre la fraude au clic).

Oui.

Tout site web qui utilise des traceurs doit proposer à l’internaute un moyen de les refuser lorsqu’ils ne sont pas strictement nécessaires au fonctionnement du site ou à un service de communication en ligne demandé par l’internaute.

Oui, ou à défaut une autre solution permettant de refuser aussi aisément qu’accepter devra être présentée à l’internaute.

Si les modalités pour proposer le refus sont libres, il doit toutefois être aussi facile d’accepter que de refuser les traceurs. Ainsi, le refus doit pouvoir, soit se déduire du silence de l’internaute, soit se manifester par une action aussi simple que celle permettant d’accepter.

Par exemple, la CNIL considère que l’intégration, au stade du premier niveau d’information de l’internaute, d’un bouton « tout refuser », au même niveau et avec le même aspect que le bouton « tout accepter », constitue un moyen clair et simple pour permettre à l’utilisateur d’exprimer ses choix.

En tout état de cause, l’internaute doit être clairement informé des moyens dont il dispose pour refuser les traceurs, notamment lorsque ces moyens sont moins explicites qu’un bouton « tout refuser » (silence de l’utilisateur, poursuite de sa navigation sans cliquer sur aucune option proposée par la bannière de gestion des cookies, etc.).

Non.

Si les modalités pour proposer le refus sont libres, la CNIL recommande fortement que le mécanisme permettant d’exprimer un refus soit accessible sur le même écran et avec la même facilité que le mécanisme permettant d’exprimer un consentement.

En effet, la CNIL considère que le fait de pouvoir consentir en un seul clic alors que plusieurs actions sont nécessaires pour « paramétrer » un refus (un clic sur « paramétrez vos choix » et un clic sur « tout refuser » par exemple) tend à biaiser le choix de l’utilisateur, qui souhaite pouvoir visualiser le site ou utiliser l’application le plus rapidement possible.

Le design des interfaces de recueil des choix est laissé à l’appréciation de l’éditeur sous réserve de ne pas chercher à tromper l’utilisateur ou à rendre plus complexe le fait de refuser les traceurs que d’y consentir.

Ainsi, afin de ne pas induire en erreur les utilisateurs, la CNIL recommande que les responsables du traitement s’assurent que les interfaces n’intègrent pas de pratiques de design potentiellement trompeuses laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre.