Le 4 juillet dernier, afin de se mettre en conformité avec les nouvelles exigences du RGPD en matière de consentement, la CNIL a adopté de nouvelles lignes directrices relatives aux cookies et autres traceurs. Explications avec Nadège Martin, associée IP/IT chez Norton Rose Fulbright.
Quels sont les changements induits par ces nouvelles lignes directrices par rapport à la recommandation de 2013 de la CNIL, et quel est leur périmètre d’application ?
Le premier changement clé réside dans les modalités de recueil du consentement. La CNIL affirme en effet que ce dernier, requis par l’article 82 de la loi Informatique et Libertés, doit être lu à la lumière des nouvelles exigences du RGPD. Concrètement, on ne peut plus être dans un consentement implicite au dépôt de cookies ; désormais, il est nécessaire que le consentement de l’utilisateur soit donné par un acte positif clair et qu’il soit éclairé, non ambigu et granulaire. Un autre changement concerne le périmètre d’application de ces lignes directrices : alors que celles de 2013 s’attachaient exclusivement aux cookies HTTP, la recommandation a ici vocation à être plus large et à englober toutes les technologies similaires de traceurs (cookies Flash, local storage HTML 5…), en lien avec la future révision de la directive vie privée et communications électroniques. En revanche, certaines exceptions que la CNIL avait entérinées dans ses recommandations de 2013 ne changent pas, comme pour les cookies de mesure d’audience ou les cookies de session (les cookies de «panier d’achat» pour un site marchand, par exemple) pour lesquels, dans certains cas, le consentement ne sera pas requis.
Comment se positionnent-elles par rapport aux autres recommandations européennes ?
Pour l’instant, les seules autorités de protection des données s’étant explicitement prononcées sur la question des conditions de recueil du consentement au dépôt des cookies sont la CNIL en France, et l’Information Commissioner’s Office (ICO) au Royaume-Uni. Leurs propositions sont à peu près alignées.
Ces lignes directrices seront complétées par des recommandations sectorielles début 2020. Pour l’heure, quelles sont les incertitudes qui demeurent ?
Elles concernent principalement les modalités pratiques de collecte du consentement. Certains sites Internet en France n’ont pas attendu la fin de la période transitoire accordée par la CNIL, et ont d’ores et déjà fait évoluer leurs «bandeaux cookies». Or, on observe de nombreuses disparités. Si certains sites ont mis en place des paramétrages par défaut, nécessitant une acceptation formelle de l’internaute, d’autres ont inséré, par défaut, des cases précochées prévoyant un «oui» de l’utilisateur à tout type de cookies, ou bien mettent surtout en avant l’option «j’accepte». Dans ses lignes directrices, l’ICO a d’ailleurs considéré que ce type de pratiques n’était manifestement pas la bonne approche pour collecter un consentement conforme aux exigences du RGPD, en ce qu’elles influencent l’internaute dans ses choix. La CNIL devra donc clarifier ces modalités, tout comme celui de la collecte du consentement lorsque l’on se trouve face à plusieurs opérateurs.
Justement, quelles sont les difficultés que peuvent poser ces nouvelles recommandations aux opérateurs ?
A partir du moment où l’on offre un choix, et qu’il est désormais juridiquement et techniquement requis que ce choix soit effectué avant de pouvoir accéder au contenu souhaité, on prend inévitablement le risque que l’utilisateur prenne quelques minutes de son temps pour dire «non». Les opérateurs s’exposent donc potentiellement à un plus grand taux de refus avec cette modalité de collecte.
Quels sont les impacts de ces lignes directrices sur l’activité des avocats spécialisés en IP/IT ?
Etant donné que la CNIL a annoncé un délai de grâce pour se conformer aux nouvelles règles, de nombreux sites attendent les futures guidelines pour rectifier le tir. Pour l’instant, l’impact est relativement moindre sur notre pratique. Le fait d’évoluer vers un consentement explicite n’est en outre pas une nouveauté ; tous les avocats spécialisés dans le domaine l’anticipent depuis un certain temps et alertent leurs clients. Pour autant, il nous faut revoir les nouvelles politiques de cookies à mettre en place, déterminer les conditions de collecte du consentement dans le cadre de cookies déposés par des tiers et conseiller d’autres acteurs, notamment dans le secteur des objets connectés.
Avez-vous des recommandations à faire pour se mettre en conformité ?
Il serait judicieux d’anticiper d’ores et déjà les nouvelles règles sur le consentement, et de ne pas attendre le dernier moment pour revoir sa politique relative aux cookies. Par ailleurs en France, la Quadrature du Net a formé un recours devant le Conseil d’Etat pour exiger la mise en application immédiate des nouvelles lignes directrices de la CNIL. En toute hypothèse, il convient donc a minima de commencer à recenser et auditer les sites internet utilisant des traceurs, les typologies de traceurs et les tiers éventuellement concernés, afin de déterminer les solutions technologiques et juridiques alternatives. L’expérience de la mise en conformité au RGPD a démontré que même deux ans de période transitoire peuvent s’avérer très courts !
