La CNIL publie ses recommandations concernant l’usage des cookies et autres traceurs par les éditeurs de sites internet et d’applications mobiles notamment.
La CNIL a adopté le 5 décembre dernier une recommandation relative aux cookies et autres traceurs dont il apparaît important de prendre connaissance pour l’ensemble des acteurs utilisant les nouvelles technologies pour exercer ou promouvoir leur activité, notamment par le biais de sites internet, d’applications mobiles ou encore des médias sociaux.
En effet, il est usuel pour les éditeurs de sites ou d’applications de mettre en œuvre des traceurs (cookies, pixels invisibles, web bugs, etc.) pour permettre la navigation de l’utilisateur, réaliser des mesures d’audiences, et plus récemment pour proposer à l’utilisateur des publicités ciblées. Or, l’utilisation de ces traceurs, que nous regrouperons sous l’appellation « cookies » par souci de simplicité, est encadrée par la loi dite informatique et liberté de 1978, en particulier depuis une ordonnance du 24 août 2011 transposant la directive communautaire en la matière. Ces règles s’appliquent que les cookies collectent ou non des données personnelles.
Le principe posé de longue date maintenant est que le stockage d’informations sur l’équipement d’un utilisateur, ou l’accès à des informations déjà stockées, ne peut être mis en œuvre qu’avec le consentement préalable de l’utilisateur (sauf si les cookies sont strictement nécessaires pour la délivrance du service expressément demandé par l’utilisateur). Diverses obligations d’information de l’utilisateur et de recueil de son consentement en découlent, qui ont contraint les entreprises à revoir leur fonctionnement en la matière.
Pour donner son consentement, l’utilisateur doit au préalable avoir été informé de manière claire et complète de la finalité du cookie et des moyens dont il dispose pour s’y opposer. Le consentement de l’utilisateur doit résulter d’un acte positif, étant précisé que le paramétrage de son dispositif de connexion (son navigateur notamment) peut être considéré comme un consentement, sous réserve bien entendu que l’obligation d’information préalable ait été respectée.
En particulier, on rappellera qu’il apparaît insuffisant de faire accepter des conditions générales d’utilisation pour satisfaire aux obligations d’information et de recueil du consentement. L’acceptation semble devoir résulter d’une information distincte et d’un accord spécifique.
La CNIL signale que sont soumis à une information et à un consentement préalable de l’utilisateur, les cookies :
- liés aux opérations de publicité ciblée,
- de mesure d’audience (sauf certains cookies définis par la recommandation) ;
- traceurs de réseaux sociaux générés par les boutons de partage de réseaux sociaux.
A l’inverse, les cookies ayant pour finalité exclusive de permettre ou faciliter la communication électronique ne sont pas concernés. Il en va de même pour les cookies strictement nécessaires à la fourniture du service expressément demandé par l’utilisateur. La CNIL précise par ailleurs que tous les types d’accès sont concernés par la réglementation sur les cookies, c’est-à-dire non seulement la navigation « classique » par ordinateur par le biais d’un navigateur internet, mais également les accès réalisés par les terminaux mobiles (téléphones, tablettes, etc.), à l’aide ou non d’applications, les télévisions et les consoles de jeux vidéo connectées.
Pour le recueil du consentement de l’utilisateur, la CNIL recommande le recours à un bandeau qui apparaîtrait au moment de la connexion de l’utilisateur au site, informant ce dernier en termes clairs (ni trop techniques, ni trop juridiques) de la finalité des cookies, de la possibilité de s’y opposer en changeant des paramètres et du fait que la poursuite de la navigation vaut acceptation des cookies. Ce bandeau devrait être maintenu tant que l’utilisateur n’aura pas effectué d’action positive (refus ou poursuite de la navigation).
On précisera également que la CNIL souhaite que la navigation puisse se poursuivre même en cas de refus des cookies par l’utilisateur. La CNIL fixe par ailleurs à 13 mois la durée maximale des cookies. Passé ce délai, le consentement exprès de l’utilisateur devra être recueilli à nouveau. Elle précise que les visites de l’internaute sur le site (ou l’utilisation de l’application) ne pourront pas prolonger ce délai, le consentement de l’utilisateur sera sollicité.
Par ailleurs, la CNIL considère que l’activation de l’option « Do Not Track » disponible sur certains navigateurs interdit l’implantation de cookies sur le terminal de l’utilisateur. Il conviendra donc aux acteurs du secteur d’adapter leurs sites et applications à ces nouvelles règles.
42 vues 
