En tant qu’internautes, nous sommes souvent irrités par l’apparition d’un bandeau qui s’affiche lors de la première consultation d’un site Internet demandant notre consentement au stockage de cookies et autres traceurs. L’utilisation des cookies est particulièrement réglementée.
Les technologies concernées. Les technologies concernées sont celles qui ont pour effet d’écrire ou de lire des données dans le terminal de l’internaute. Il s’agit d’un suivi via des cookies qui permettent d’enregistrer les interactions de l’utilisateur avec les différentes pages d’un site internet mais également via des identifiants publicitaires. Cet appareil viole la protection des données personnelles.
Le champ d’application. La réglementation s’applique aux terminaux personnels, notamment les ordinateurs, mais aussi à un smartphone, une tablette, un véhicule connecté, etc.
Référence légale. L’article 5 (3) de la directive ePrivacy garantit aux utilisateurs et abonnés la protection de leurs terminaux contre tout accès ou stockage non désiré d’informations.
En effet, elle soumet ces opérations au consentement, sauf si elles relèvent de cas d’utilisation bien précis. Cet article est transposé dans la loi Informatique et Libertés en l’article 82, qui s’applique notamment aux cookies, prévoit que tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète et avoir exprimé son consentement. À deux exceptions près si le traceur :
– a pour objet exclusif de permettre ou de faciliter la communication par voie électronique ;
– est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur (mémorisation de son papier d’achat, authentification…)
La Commission nationale de l’information et des libertés (Cnil) a publié des lignes directrices et une FAQ dédiée qu’elle met à disposition.
Les recommandations de la CNIL depuis 2020 sur les cookies sont les suivantes :
– la simple poursuite de la navigation sur un site ne peut être considérée comme une expression valable du consentement de l’internaute ; les personnes doivent consentir au dépôt de traceurs par un acte positif clair (comme cliquer sur « J’accepte » dans un bandeau cookie). A défaut, aucun traceur non indispensable au fonctionnement du service ne pourra être déposé sur son appareil ;
– refuser les trackers doit être aussi simple que de les accepter ;
– les personnes doivent être clairement informées des finalités des traceurs avant de consentir à leur dépôt, ainsi que des conséquences attachées à l’acceptation ou au refus des traceurs ;
– les organismes exploitant des traceurs doivent pouvoir fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur ;
– elle suggère que les sites internet, qui conservent généralement le consentement aux traceurs pendant une certaine durée, maintiennent également le refus des internautes pendant une certaine durée, afin de ne pas réinterroger l’internaute à chacune de ses visites.
Le Comité européen de la protection des données (CEPD) a créé un groupe de travail qui a rendu un rapport le 17 janvier 2023 :
– l’absence de bouton « Tout refuser » sur le bandeau n’est pas conforme ;
– les cases de consentement pré-cochées ne sont pas conformes ;
– les bannières trompeuses ou non explicites ne sont pas conformes : c’est le cas s’il existe un bouton « Accepter » et un hyperlien pour refuser ;
– les couleurs et contrastes incitant les internautes à accepter les cookies ne sont pas conformes ;
– l’intérêt légitime ne peut pas être utilisé comme base juridique pour le placement de cookies, l’obtention du consentement est nécessaire ;
– les cookies marqués comme essentiels doivent être prouvés ;
– l’absence de bouton « Retrait » n’est pas conforme : les internautes doivent pouvoir modifier facilement leur consentement ;
– l’absence de possibilité de refuser/rejeter les cookies au même niveau que celle prévue pour accepter leur dépôt constitue une violation de la législation.
Consentement ou non. Certains cookies nécessitent le consentement de l’internaute, par exemple ceux relatifs aux opérations publicitaires, aux réseaux sociaux générés par des boutons de partage qui collectent des données personnelles.
D’autres sont exemptés du consentement tel que l’identifiant de session et l’authentification. Pour les mesures d’audience, les lignes directrices de la CNIL précisent les cas où les trackers de mesures d’audience peuvent être dispensés de consentement. Elle rappelle que leur seule finalité doit être une mesure statistique d’audience sur le site visité, excluant le suivi global de la navigation.
Se concentrer. Cookies « tiers ». Il s’agit de cookies déposés sur des domaines différents de celui du site principal, généralement gérés par des services tiers qui ont été interrogés par le site visité et non à l’initiative de l’internaute lui-même. Ils sont utilisés par des tiers pour connaître quelles pages ont été visitées sur le site concerné par un utilisateur et permettent de collecter des informations les concernant, notamment à des fins publicitaires. Certains acteurs du numérique développent aujourd’hui des alternatives aux cookies « tiers », par exemple la notion d’identifiants uniques, des outils comme le « Privacy Sandbox » de Google ou encore des liens de tracking. La CNIL surveille attentivement ces technologies afin de garantir le respect des droits des personnes.
La pratique des « cookies wall ». Cette pratique consiste à conditionner l’accès à un site Internet à l’acceptation d’un dépôt traceur. La CNIL recommande de l’apprécier au cas par cas, notamment l’existence d’une réelle alternative :
– l’alternative payante n’est pas interdite en soi mais à un prix raisonnable,
– s’il n’est pas interdit de conditionner l’accès au site au consentement à une ou plusieurs finalités des traceurs mais de le limiter aux finalités permettant une juste rémunération du service proposé,
– si l’alternative payante est utilisée, des trackers peuvent être installés avec le consentement de l’utilisateur dans certains cas limités.
Les sanctions. La CNIL a imposé de lourdes sanctions, quelques exemples sont cités ci-dessous.
Le 29 décembre 2022, la CNIL a infligé une amende de 3 millions d’euros à la société Voodoo, éditeur de jeux pour smartphone, pour utilisation d’un identifiant essentiellement technique à des fins publicitaires, sans le consentement de l’utilisateur.
Le 29 décembre 2022, la Cnil a sanctionné le réseau social Tiktok pour un montant total de 5 millions d’euros pour deux raisons : les utilisateurs de « tiktok.com » ne pouvaient pas refuser les cookies aussi facilement que les accepter et ils n’étaient pas informés de manière suffisamment précise. sur les finalités des différents cookies.
Le 29 décembre 2023, la CNIL a sanctionné la société Yahoo Emea Limited d’une amende de 10 millions d’euros pour ne pas avoir respecté le choix des internautes ayant refusé les cookies sur son site « Yahoo.com » et ne pas avoir autorisé les utilisateurs de son site « Yahoo.com ». Yahoo! Mail » pour retirer librement leur consentement aux cookies.
La leçon à tirer de ces décisions est qu’il est souhaitable de s’assurer que la rédaction des documents correspond à la réalité du traitement.
Recommandations. Aujourd’hui, les logiciels proposés pour gérer les cookies sont pour la plupart conformes, mais ne vous dispensent pas d’effectuer des contrôles de conformité.
Concernant le processus de contrôle des cookies, les tests suivants doivent notamment être effectués :
– vérifier si le refus est aussi simple que le consentement en comptant les actions pour chaque action,
– sur le bandeau, vérifier les finalités mentionnées pour les cookies afin de déterminer si elles sont suffisamment précises en elles-mêmes,
– dans le module de paramétrage, vérifier que la liste des cookies par catégorie existe et si pour une double catégorie (analyse et marketing), sa(ses) finalité(s) est précisée pour chaque cookie.
