La CNIL a récemment publié de nouvelles recommandations et lignes directrices sur les cookies et traceurs (délibérations n°2020-091 et 2020-092 du 17 septembre 2020).
Les acteurs disposent d’un délai de 6 mois pour se mettre en conformité avec les nouvelles règles applicables, soit au plus tard à fin mars 2021.
Cookies : comment informer et quelle information communiquer aux internautes ?
Les internautes doivent clairement être informés, d’une part, des finalités des cookies et traceurs avant de consentir ou refuser ces derniers et, d’autre part, des conséquences qui s’attachent à une acceptation ou un refus de ces cookies et traceurs.
Par ailleurs, les internautes doivent être informés de l’identité de tous les acteurs utilisant des cookies et traceurs soumis au consentement. Cela implique d’indiquer précisément les sociétés tierces et partenaires utilisant des cookies et traceurs via le site internet.
Enfin, la CNIL précise qu’un certain nombre de cookies et traceurs nécessaires sont exemptés de consentement (choix de la langue, authentification, …).
Comment se matérialise le consentement et le refus des cookies ?
Le principe reste que les internautes doivent consentir au dépôt des cookies sur leur terminal.
Le consentement doit être matérialisé par un acte positif clair (par exemple, en cliquant sur un bouton « j’accepte »).
Ainsi, la simple poursuite de la navigation sur un site internet ne peut plus être considérée comme une expression valide du consentement au dépôt de cookies.
Ne constitue pas non plus un consentement valide une case pré-cochée sur le site internet car cela implique a contrario que l’utilisateur décoche la case pour refuser de donner son consentement. La CJUE avait précisé dans cette même décision que l’obligation de requérir le consentement de l’utilisateur au dépôt des cookies s’applique que les cookies traitent ou non des données personnelles (CJUE, 1er octobre 2019, C‑673/17).
Les internautes doivent également pouvoir refuser les cookies lorsqu’ils ne sont pas strictement nécessaires au fonctionnement du site ou à un service demandé par les utilisateurs. Dans ses lignes directrices, la CNIL précise que refuser les cookies et traceurs doit être aussi aisé que de les accepter.
L’autorité de contrôle recommande ainsi un parallélisme des formes. Par exemple, l’interface de recueil du consentement pourrait comprendre non seulement un bouton « tout accepter » mais également un bouton « tout refuser ».
Le refus des cookies doit pouvoir être exprimé à tout moment.
Comment paramétrer les cookies et traceurs ?
Les internautes doivent consentir ou refuser les cookies et traceurs en fonction de leur finalité, et ce à tout moment.
En début de navigation, un bandeau ou un pop-up permettant de paramétrer les cookies et traceurs doit apparaître sur le site internet.
A tout moment, les internautes doivent pouvoir modifier ces choix. Il est en conséquence recommandé de mettre à disposition sur le site les moyens de gérer facilement ses préférences relatives aux cookies. Cela peut prendre la forme d’un lien « Gérer mes cookies / Modifier mes préférences cookies » ou d’un module de paramétrage placés dans une zone visible du site internet (par exemple en bas à gauche de l’écran) ou encore d’une icône « cookie » visuellement explicite.
Quelle est la durée de conservation des choix de l’utilisateur ?
La CNIL recommande de conserver les choix exprimés en matière de cookies par l’internaute, tant pour son consentement que pour son refus. La durée de conservation des choix doit être appréciée selon le contexte et la nature du site internet. Cependant, la CNIL indique qu’une durée de 6 mois (contre 13 mois auparavant) constitue une bonne pratique. Si le consentement avait été sauvegardé, cela implique d’obtenir à nouveau le consentement des utilisateurs au terme de cette période.
Quelle est la politique de contrôle de la CNIL ? Quelles sont les sanctions en cas de non-respect des lignes directrices ?
Jusque fin mars 2021, la CNIL procèdera à des actions de contrôle de respect des principes précédemment exposés dans sa recommandation de 2013. C’est dans ce cadre qu’elle a récemment sanctionné les sociétés Carrefour, Google et Amazon (cf notre encadré).
A compter d’avril 2021, la CNIL s’assurera de l’application des nouvelles lignes directrices par les responsables de traitement.
En cas de non-respect des lignes directrices, les sanctions qui pourront être prononcées sont celles fixées dans le RGPD et la loi Informatique et libertés modifiée, c’est-à-dire, notamment une sanction financière pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial total de l’exercice précédent, le montant le plus élevé étant retenu..
Le Cabinet MVM Avocats est à votre disposition pour vous accompagner dans la mise en conformité de votre site internet aux nouvelles lignes directrices en matière de cookies et de traceurs.
Dernières sanctions en matière de non-respect des recommandations relatives aux cookies :
CARREFOUR France ET CARREFOUR BANQUE : La CNIL a prononcé une sanction de 2 250 000 euros et de 800 000 euros à l’encontre des sociétés CARREFOUR FRANCE et CARREFOUR BANQUE en raison, notamment, d’un manquement à la règlementation relative aux cookies. Plusieurs cookies (dont des cookies publicitaires) étaient automatiquement déposés, avant toute action de sa part, sur le terminal de l’utilisateur qui se connectait aux sites internet des sociétés. Le consentement de l’utilisateur aurait dû être recueilli avant le dépôt (Délibérations n° SAN-2020-008 et n° SAN-2020-009 du 18 novembre 2020).
GOOGLE LLC et GOOGLE IRELAND LTD : La CNIL a prononcé une sanction d’un montant total de 100 millions d’euros à l’encontre des sociétés GOOGLE , en raison (i) du dépôt de cookies publicitaires sur les terminaux des utilisateurs du moteur de recherche sans consentement préalable ni information satisfaisante, et (ii) d’un mécanisme d’opposition défaillant : malgré la modification de ses paramètres par l’utilisateur, un cookie publicitaire demeurait stocké sur son ordinateur (Délibération n°SAN-2020-012 du 7 décembre 2020).
AMAZON EUROPE CORE : La CNIL a prononcé une sanction de 35 millions d’euros à l’encontre de la société AMAZON pour avoir déposé des cookies publicitaires sur les terminaux des utilisateurs à partir du site amazon.fr sans consentement préalable ni information satisfaisante (Délibération n°SAN-2020-013 du 7 décembre 2020).