Ciblage publicitaire : les nouvelles règles applicables aux cookies
La Cnil a fait
connaître, en juillet, les nouvelles règles à respecter en terme de cookies qui
modifient la réglementation de 2013. Les obligations des éditeurs de site sur
le recueil du consentement de l’internaute sont renforcées.
La délibération du 4 juillet 2019 de la Cnil (Commission
nationale informatique et libertés) sur l’adoption de nouvelles lignes
directrices relatives à l’usage des cookies et autres traceurs a été publiée au
Journal officiel du 19 juillet 2019.
Sont ainsi définies
les nouvelles règles à appliquer ; leur non-respect sera sanctionné sur le
fondement du règlement européen RGPD et de la future directive e-Privacy.
Le consentement
La simple poursuite
de la navigation sur un site ne pourra s’analyser en une preuve du consentement
de l’intéressé pour le dépôt de cookies et autres traceurs : l’utilisateur doit
y avoir consenti, par une déclaration ou par un acte positif clair,
conformément aux exigences du RGPD.
À ce titre, la Cnil
affirme que la pratique des “cookie walls” qui consiste à ne pas
autoriser l’accès à un site ou à une application pour les personnes ayant
refusé la pose des cookies, est à présent interdite. Les utilisateurs peuvent
refuser d’être tracés, sans avoir à en subir des conséquences négatives.
La preuve du consentement
Les professionnels
qui posent et exploitent des cookies ou autres traceurs doivent être en mesure
de prouver le consentement obtenu. Il leur appartient de mettre en œuvre des
mécanismes leur permettant de démontrer qu’ils ont valablement obtenu le
consentement des utilisateurs ; cette preuve doit pouvoir être apportée à tout
moment.
L’acceptation globale de conditions générales d’utilisation
ne sera pas suffisante pour prouver le consentement. De même, en cas de
finalités multiples, le consentement doit être obtenu par finalité. La Cnil
abandonne le “bandeau cookie”, comme information préalable.
Autres mentions
Le professionnel a l’obligation de publier des mentions d’informations
explicites et faciles d’accès, notamment portant sur l’identité du responsable
de traitement, la finalité de l’usage des traceurs ou encore de l’existence de
traitement.
Les traceurs de mesure d’audience
Concernant les
traceurs de mesure d’audience, le consentement exprès n’est pas nécessaire,
sous réserve du respect des conditions suivantes : les utilisateurs doivent
toujours pouvoir s’y opposer et disposer, au préalable, d’une information sur
leur existence et les finalités des dispositifs concernés. Leur durée de
conservation ne pourra être supérieure à 13 mois, et les informations
collectées en tant que telles à 25 mois maximum.
Contrôle
Le respect de ces règles reste relativement facile à
contrôler compte-tenu du caractère très visible des cookies et de la faculté
pour les agents de la Cnil d’opérer un contrôle à distance. L’échelle de
sanctions prévue au RGPD s’appliquera aux contrevenants.
Rôles et
responsabilités
La responsabilité pèse
sur le responsable de traitement, il s’agira souvent de l’éditeur du site. La
Cnil rappelle qu’est sous-traitant […] « l’acteur qui inscrit des
informations et/ou accède à des informations stockées dans l’équipement
terminal d’un abonné ou d’un utilisateur, exclusivement pour le compte d’un
responsable de traitement et sans réutilisation pour son propre compte des
données collectées via le traceur ».
Mise en œuvre
Une période
d’adaptation de six mois à compter de la publication définitive de la future recommandation,
qui devrait intervenir début 2020, sera laissée aux professionnels pour leur
permettre de s’y conformer. Des échanges avec les différentes organisations
professionnelles sont prévues dans les prochains mois, notamment pour
déterminer les contours du recueil du consentement.