CNIL: 31 mars 2021 date limite de se mettre en conformité aux nouvelles lignes directrices sur les cookies

Poursuivant son plan d’action 2019-2020 concernant les règles applicables sur le ciblage publicitaire, la Commission Nationale de l’Informatique et des Libertés (CNIL), a adopté, le 17 septembre 2020, ses nouvelles lignes directrices aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs »), abrogeant la délibération n°2019-093 lignes directrices sur les cookies adoptée le 4 juillet 2019 remplaçant ses recommandations de 2013.

Quel est le champ d'application des lignes directrices?

Les lignes directrices de la CNIL s’appliquent à tous les dispositifs ayant pour objet la lecture d’informations ou d’inscrire des informations sur l’équipement terminal des internautes quels que soit les systèmes d’exploitation, les logiciels applicatifs tels que navigateurs ou les terminaux utilisés. L’équipement terminal peut être tout objet connecté à un réseau de télécommunication ouvert au public. Ex. tablette, smartphone, ordinateur fixe ou mobile, console de jeu vidéo, télévision connectée, véhicule connecté, assistant vocal.

Quels sont les cookies et les autres traceurs?

  1. Cookies HTTP;
  2. Cookies Flash ou objets locaux partagés (local shared objects);
  3. Stockage local (local storage);
  4. Empreinte digital (Identifications par calcul d’empreinte du terminal);

Quelles sont les données collectées et traitées par les cookies ?

  1. Identifiant unique d’un cookie;
  2. Adresse IP;
  3. Identifiant du terminal ou d’un composant du terminal de l’utilisateur;
  4. Identifiant généré par un logiciel ou un système d’exploitation;
  5. Identifiants générés par les systèmes d’exploitations (OS) publicitaires ou non: (IDFA, IDFV, Android ID, etc.);
  6. Identifiants matériels (adresse MAC, numéro de série ou d’autres identifiants d’un appareil);
  7. Résultat de calcul dans le cas d’une technique de “fingerprinting”.

Quant est-ce que le consentement doit être recueilli ?

Le consentement doit être recueilli avant toute action visant au dépôt ou à la lecture des cookies.
Selon ces lignes directrices, la poursuite de la navigation sur un site ou la pratique de scroll (faire défiler une page), l’acceptation des conditions générales d’utilisation ne peuvent plus être considérées comme un consentement valide.
De plus, la preuve du consentement doit être conservée.
Par contre, dans les lignes directrices nous ne retrouvons pas d’information concernant la prescription de la durée de validité du consentement obtenu. Par contre, il a été précisé que les traceurs ne peuvent pas avoir une durée de vie excédant 13 mois.
Les modalités pratiques du recueil de consentement seront prochainement publiées par la CNIL. Par la suite, une période d’adaptation de 6 mois est prévue par la CNIL.

Quel est l'impact de la décision du 19 juin 2020 du Conseil d’État concernant les lignes directrices sur les cookies?

Le Conseil d’État annule partiellement, dans sa décision du 19 juin 2020, les lignes directrices de la CNIL relatives aux cookies et autres traceurs de connexion. Le Conseil d’État juge que la CNIL ne pouvait pas interdire la pratique de “cookie Walls”. Cette pratique consiste à bloquer l’accès à une site internet en cas de refus des cookies. Le Conseil d’État confirme la légalités des autres points contestés par la CNIL dans ses lignes directrices.

Selon la CNIL, une telle pratique n’est pas conforme à l’exigence du RGPD notamment au respect des dispositions concernant un consentement libre. Selon la CNIL, en refusant les cookies, l’utilisateur du site se voit interdire d’utiliser le site.

Sans se prononcer sur le fond de cette interdiction, le Conseil d’État considère qu’une telle interdiction générale dépasse le cadre des lignes directrices de la CNIL en tant qu’un acte dit “de droit souple”. Selon le Conseil d’État, un acte de droit souple ne crée pas de droit et d’obligation pour quiconque mais influencent dans les faits les pratiques des opérateurs économiques.

Quid aux nouvelles lignes directrices en matière des cookies ?

Les nouvelles lignes directrices abrogeant la délibération n° 2019-093 du 4 juillet 2019 ont été adoptées le 17 septembre 2020 (Délibération n° 2020-091 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur).

La CNIL invite les organismes privés et publics de mettre en conformité, jusqu’au 31 mars 2021, leur site web et leur application mobile par rapport à ces nouvelles règles en matière des cookies (en savoir plus sur le site de la CNIL).

Quels sont les principaux points évoqués dans les nouvelles nouvelles lignes directrices sur les cookies?

Les lignes directrices porte en particulier sur les points suivants:

  • champs d’application des lignes directrices;
  • modalités de recueil d’un consentement libre, spécifique, éclairé et univoque;
  • preuve du consentement, refus et le retrait du consentement;
  • qualification des acteurs;
  • paramètres du terminal;
  • traceurs exemptés de consentement.

DPOINFO-AVOCATS (DIA) vous accompagne pour un audit de conformité de votre site internet ou application mobile aux nouvelles règles en matière de cookies.

Pour un devis ou pour toute autre question :

contact@dpoinfo-avocats.fr