Le 18 juillet 2019, la CNIL a publié au Journal Officiel des nouvelles lignes directrices sur les cookies et traceurs. Objectif ? Renforcer le recueil du consentement des utilisateurs. Explications.
Cookies et traceurs : pourquoi la CNIL donne-t-elle de nouvelles directives ?
La Commission Nationale de l’Informatique et des Libertés (CNIL) a annoncé vouloir supprimer et renforcer ses recommandations sur le recueil du consentement des utilisateurs en matière de cookies et autres traceurs. En cause, l’entrée en application du règlement général sur la protection des données (RGPD) qui a rendu obsolète une précédente recommandation de la commission.
En 2013, la CNIL avait adopté une recommandation relative à l’application de l’article 82 de la loi « Informatiques et Libertés ». L’obligation de recueillir le consentement des utilisateurs avant toute mise en place de cookies et traceurs y est clairement indiquée. Mais elle admettait qu’une interaction sur un site, même un simple scroll, suffisait pour valider le consentement d’un internaute. Or, désormais, cette pratique de recueil du consentement n’est plus en accord avec la RGPD. La CNIL a donc annoncé l’abrogation de cette recommandation et décidé d’en établir de nouvelles.
Cookie et traceurs : les nouvelles directives de la CNIL
La CNIL a adopté de nouvelles lignes directrices sur le recueil du consentement des cookies et traceurs. Ces lignes directrices, font partie d’un plan d’action sur le ciblage publicitaire, annoncé en juin 2019 et dont le règlement définitif sera publié au premier trimestre 2020.
En attendant des recommandations complémentaires, ces premières directives stipulent que « le consentement doit se manifester par le biais d’une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer. Le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable ». Elles précisent aussi que « l’utilisation de cases pré-cochées, tout comme l’acceptation globale de conditions générales d’utilisation, ne peuvent être considérées comme un acte positif clair visant à donner son consentement ». Autrement dit, désormais, informer les internautes de la présence de traceurs ou de cookies sur un site n’est pas suffisant, ils doivent effectuer un « acte » pour montrer qu’ils acceptent la collecte de leurs données personnelles. De plus, l’autorité administrative indique que les internautes devront avoir la possibilité de refuser et de retirer leur consentement. Dans ce cas, ils pourront conserver la possibilité d’accéder au site ou au service. Enfin, la CNIL ajoute un autre point important : les opérateurs qui exploitent des traceurs devront être en mesure de prouver qu’ils ont bien recueilli le consentement des usagers.
Une période d’adaptation est prévue pour laissant le temps aux différents acteurs d’intégrer ces nouvelles règles.
