Le 4 juillet 2019, la Commission Nationale de l’informatique et des libertés (CNIL) a adopté la délibération n° 2019-093 portant adoption de lignes directrices.
Ces lignes directrices sont relatives à l’application de l’article 82 de la Loi Informatique et Libertés, disposition prévoyant notamment l’obligation, sauf exception, de recueillir le consentement des utilisateurs avant toute opération d’écriture ou de lecture de cookies et autres traceurs.
A la suite de l’entrée en vigueur du Règlement général sur la protection des données à caractère personnel (RGPD) le 25 mai 2018, le cadre de référence de la CNIL méritait d’être actualisé.
Dans la lignée de son plan d’action sur le ciblage publicitaire, la CNIL a publié le 14 janvier 2020 un projet de recommandation en vue de guider les organismes concernés sur les modalités pratiques de recueil du consentement de l’internaute.
Les conditions relatives à l’expression et au recueil du consentement sont désormais plus strictes.
- Quels sont les traceurs concernés ?
Les traceurs utilisés par l’éditeur d’un site web ou d’une application mobile ainsi que par des tiers sont soumis à l’obligation de recueillir le consentement.
Plus précisément, aux termes de l’article 1 des lignes directrices, celles-ci ont vocation à s’appliquer à l’utilisation des traceurs suivants :
- cookies http ;
- « local shared objects » (objets locaux partagés) appelés parfois les « cookies Flash » ;
- « local storage » (stockage local) mis en œuvre au sein du HTML 5 ;
- identifications par calcul d'empreinte du terminal ;
- identifiants générés par les systèmes d'exploitation (qu'ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.) ;
- identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d'un appareil).
Le recueil du consentement n’est pas nécessaire s’agissant des opérations ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.
- Quelles mises à jour convient-il d’effectuer ?
Les lignes directrices de la CNIL impliquent que le recueil du consentement respecte les dispositions de l’article 4.11. du RGPD, lequel définit la notion de consentement comme toute manifestation de volonté, libre, spécifique, éclairée et univoque.
Les évolutions majeures sont relatives à l’exigence d’un acte positif clair de l’utilisateur ainsi qu’à la preuve du recueil du consentement.
L’obligation de recueillir le consentement avant tout dépôt de cookies est aujourd’hui renforcée par le bannissement de tout accord tacite de l’utilisateur. La poursuite de la navigation de l’utilisateur sur le site web ou l’application mobile est insuffisante : qui ne dit mot ne consent pas.
L’opérateur exploitant des traceurs doit également mettre en œuvre des mécanismes permettant de démontrer que le consentement des utilisateurs a valablement été recueilli (de manière éclairée, libre, spécifique et univoque). La preuve de la validité du recueil du consentement doit être établie de manière individuelle pour chaque utilisateur.
Sur les autres évolutions, il faut noter l’obligation de mettre à disposition de l’utilisateur la liste des partenaires ayant recours aux traceurs utilisés.
En outre, malgré l’exigence d’un consentement spécifique, le projet de recommandation prévoit la possibilité pour l’opérateur de proposer un consentement global à un ensemble de finalités sous certaines conditions (dont notamment la présentation préalable à l’utilisateur de l’ensemble des finalités).
Enfin, la délibération relative aux cookies et traceurs du 5 décembre 2013 prévoyait en son article 5 que les cookies avaient une durée de vie limitée à treize mois après leur premier dépôt dans l’équipement terminal de l’utilisateur. Cette exigence ne figure plus au sein des dernières lignes directrices.
Néanmoins, une durée de vie de treize mois maximum est prescrite concernant les traceurs de mesure d’audience, lesquels sont pour rappel exemptés du recueil du consentement de l’utilisateur.
- Quand dois-je effectuer une mise en conformité au regard des nouvelles lignes directrices ?
La CNIL a indiqué qu’une période d’adaptation est laissée aux opérateurs qui respectaient jusqu’à présent la recommandation du 5 décembre 2013. La période transitoire ne saurait toutefois excéder un délai de 12 mois.
Le projet de recommandation fait actuellement l’objet d’une consultation publique jusqu’au 25 février 2020 afin d’associer les organisations représentatives des professionnels de l’écosystème de la publicité en ligne ainsi que les organisations représentatives de la société civile.
Quels sont les traceurs concernés ?
Les traceurs utilisés par l’éditeur d’un site web ou d’une application mobile ainsi que par des tiers sont soumis à l’obligation de recueillir le consentement.
Plus précisément, aux termes de l’article 1 des lignes directrices, celles-ci ont vocation à s’appliquer à l’utilisation des traceurs suivants :
- cookies http ;
- « local shared objects » (objets locaux partagés) appelés parfois les « cookies Flash » ;
- « local storage » (stockage local) mis en œuvre au sein du HTML 5 ;
- identifications par calcul d'empreinte du terminal ;
- identifiants générés par les systèmes d'exploitation (qu'ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.) ;
- identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d'un appareil).
Le recueil du consentement n’est pas nécessaire s’agissant des opérations ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.
Quelles mises à jour convient-il d’effectuer ?
Les lignes directrices de la CNIL impliquent que le recueil du consentement respecte les dispositions de l’article 4.11. du RGPD, lequel définit la notion de consentement comme toute manifestation de volonté, libre, spécifique, éclairée et univoque.
Les évolutions majeures sont relatives à l’exigence d’un acte positif clair de l’utilisateur ainsi qu’à la preuve du recueil du consentement.
L’obligation de recueillir le consentement avant tout dépôt de cookies est aujourd’hui renforcée par le bannissement de tout accord tacite de l’utilisateur. La poursuite de la navigation de l’utilisateur sur le site web ou l’application mobile est insuffisante : qui ne dit mot ne consent pas.
L’opérateur exploitant des traceurs doit également mettre en œuvre des mécanismes permettant de démontrer que le consentement des utilisateurs a valablement été recueilli (de manière éclairée, libre, spécifique et univoque). La preuve de la validité du recueil du consentement doit être établie de manière individuelle pour chaque utilisateur.
Sur les autres évolutions, il faut noter l’obligation de mettre à disposition de l’utilisateur la liste des partenaires ayant recours aux traceurs utilisés.
En outre, malgré l’exigence d’un consentement spécifique, le projet de recommandation prévoit la possibilité pour l’opérateur de proposer un consentement global à un ensemble de finalités sous certaines conditions (dont notamment la présentation préalable à l’utilisateur de l’ensemble des finalités).
Enfin, la délibération relative aux cookies et traceurs du 5 décembre 2013 prévoyait en son article 5 que les cookies avaient une durée de vie limitée à treize mois après leur premier dépôt dans l’équipement terminal de l’utilisateur. Cette exigence ne figure plus au sein des dernières lignes directrices.
Néanmoins, une durée de vie de treize mois maximum est prescrite concernant les traceurs de mesure d’audience, lesquels sont pour rappel exemptés du recueil du consentement de l’utilisateur.
Quand effectuer une mise en conformité au regard des nouvelles lignes directrices ?
La CNIL a indiqué qu’une période d’adaptation est laissée aux opérateurs qui respectaient jusqu’à présent la recommandation du 5 décembre 2013. La période transitoire ne saurait toutefois excéder un délai de 12 mois.
Le projet de recommandation fait actuellement l’objet d’une consultation publique jusqu’au 25 février 2020 afin d’associer les organisations représentatives des professionnels de l’écosystème de la publicité en ligne ainsi que les organisations représentatives de la société civile.
