Quelle règlementation pour les cookies et les traceurs ?

par | 15 Avr, 2021 | Numérique & Data

QUE SONT LES COOKIES ET TRACEURS ?

Les traceurs sont opérations de lecture et/ou d’écriture d’informations dans l’équipement terminal d’un abonné ou d’un utilisateur de services de communications électroniques. Il existe de nombreux traceurs, le plus connu étant le témoin de connexion ou cookie.

Un cookie est un petit fichier stocké dans le terminal d’un utilisateur (ordinateur, smartphone, console de jeux vidéo, etc.) à la demande du serveur gérant le domaine web visité et auquel le cookie est associé.

Ils peuvent être déposés et/ou lus lors de la consultation d’un site web, d’une application mobile, de l’installation ou de l’utilisation d’un logiciel.

Les cookies et traceurs disposent d’une date d’expiration (la fin de navigation sur le site concerné ou une date ultérieure).

OBJECTIF DES COOKIES ET TRACEURS

Les traceurs sont utilisés pour optimiser et analyser la navigation des internautes :

  • Certains sont installés pour analyser les déplacements et les habitudes de consultation ou de consommation des internautes, afin notamment de leur proposer des services personnalisés
  • Certains ciblent le comportement des internautes à des fins publicitaires en leur proposant des publicités ciblées ou aux fins de mesure d’audience.
Le cadre juridique applicable

La réglementation en vigueur en matière de cookies et traceurs repose principalement sur :

  • la loi Informatique et Libertés
  • la directive 2002/58/CE du 12 juillet 2002 dite «Directive vie privée et communications électroniques », telle que modifiée en 2009.

La CNIL a adopté de nouvelles lignes directrices ainsi qu’une recommandation portant sur l’usage de cookies le 17 septembre 2020, applicables à partir du 1er avril 2021.

La réglementation pose le principe suivant : un consentement préalable de l’utilisateur avant le stockage d’informations sur son terminal ou l’accès à des informations déjà stockées sur celui-ci. Ce consentement correspond à celui prévu par le RGPD. Il doit donc être libre, spécifique, éclairé, univoque et facilement révocable (sur ce point, se référer à la fiche RGPD).

Toutefois, certains traceurs ne nécessitent pas de consentement de l’utilisateur.

Qui est concerné par cette réglementation ?
  • Les éditeurs de sites web ou d’applications mobiles qui déposent des traceurs soumis au consentement sont considérés comme responsables de traitements.
  • Les tiers qui déposent des traceurs ou cookies sur le site web d’un éditeur sont considérés comme coresponsables du traitement.
  • De manière générale, tout organisme déposant et/ou exploitant des traceurs
Les catégéries de traceurs
  • Les traceurs exemptés de consentement préalable
    • Les cookies ayant pour finalité exclusive de permettre ou faciliter une communication par voie électronique
    • OU étant strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur

Exemple : les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un e-commerce, ceux permettant l’authentification auprès d’un service, les traceurs de personnalisation de l’interface utilisateur (pour le choix de la langue ou de la présentation d’un service), ou certains traceurs de mesure d’audience visant à générer des statistiques de fréquentation de de performance.

  • Les traceurs nécessitant un consentement préalable

Tous les traceurs n’ayant pas pour finalité exclusive de permettre ou faciliter une communication par voie électronique ou n’étant pas strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur nécessitent le consentement préalable de l’internaute.

Il s’agit notamment des cookies permettant la publicité personnalisée ou le partage de contenu sur les réseaux sociaux.

En l’absence de consentement  (dans l’hypothèse d’un refus de l’utilisateur ou la fermeture du bandeau de recueil de consentement), ces traceurs ne peuvent être déposés et/ou lus sur son terminal.

La simple poursuite de la navigation sur un site n’est plus considérée comme une expression valide du consentement de l’utilisateur.

Comment se mettre en conformité ?
  • Recueillir un consentement valable:
    • Informer l’utilisateur sur l’existence des traceurs et leurs finalités au moment où il doit faire son choix. L’utilisateur doit aussi pouvoir consulter la liste (à jour) des responsables de traitements de données. Cette information doit être visible, complète, claire et compréhensible.
    • Mettre en place un moyen de recueil du consentement préalable au dépôt et à la lecture de traceurs. Tant que la personne n’a pas donné son consentement, les cookies ne peuvent pas être déposés ou lus sur son terminal. 
    • Permettre le recueil du consentement par un acte positif clair et simple : l’utilisateur doit pouvoir accepter ou refuser les traceurs avec le même degré de simplicité. Cela peut passer par des cases à cocher, qui seraient décochées par défauts.
    • La CNIL recommande que le choix exprimé par les utilisateurs soit enregistré de manière à ne pas les solliciter à nouveau pendant une certaine durée.
    • Permettre à l’utilisateur de faire un choix par finalité : un recueil du consentement de façon indépendante et spécifique pour chaque finalité est à privilégier. Une obtention du consentement est nécessaire à chaque fois qu’une nouvelle finalité est ajoutée aux finalités initialement prévues. Il est toutefois possible de proposer à l’utilisateur de consentir de manière globale si l’ensemble des finalités est présenté préalablement, par exemple, par des cases à cocher « tout accepter » ou « tout refuser ».
    • Permettre un retrait simple du consentement à tout moment :l’utilisateur doit avoir la possibilité de retirer son consentement à tout moment. Les moyens de retrait doivent être aussi simples et accessibles que ceux permettant d’obtenir le consentement (ex : un lien hypertexte en pied de page).
  • La preuve du consentement

Les organismes exploitant des traceurs et les responsables de traitements doivent être en mesure de prouver ce consentement.

La CNIL propose divers moyens de se constituer une preuve du consentement :

  • une mise sous séquestre auprès d’un tiers du code informatique utilisé par l’organisme recueillant le consentement, pour les différentes versions de son site ou de son application mobile
  • par la publication horodatée sur une plate-forme publique d’un condensat (ou « hash ») de ce code pour pouvoir prouver son authenticité a posteriori ;
  • une capture d’écran du rendu visuel affiché sur un terminal mobile ou fixe peut être conservée, de façon horodatée, pour chaque version du site ou de l’application ;
  • des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre par des tiers mandatés à cette fin.

QUELS SONT LES RISQUES ?

 Des sanctions pourront être adoptées par la CNIL en cas de non-respect de ces obligations, constitutif d’atteinte à la vie privée et d’atteinte à la protection des données :

  • Mesures de contrôle
  • Mises en demeure de la CNIL
  • Injonction sous astreinte
  • Amendes : maximum 4% du CA mondial ou 20 millions d’€