Récapitulatif des recommandations de la CNIL

Le ciblage publicitaire est omniprésent aujourd’hui. Il est connu sous le nom de Cookies, mais en réalité, ce n’est qu’un type de technologie utilisée pour tracer les internautes. Ces traceurs permettent de suivre et d’analyser la navigation des internautes, de vos clients ou de vos utilisateurs. On en distingue différents types.

Le plus connu, mais de moins en moins utilisé, c’est le Cookie. Un fichier texte déposé par le site web dans un espace dédié de l’ordinateur ou du téléphone. Ce Cookie ne peut être lu que par l’émetteur du Cookie et permet, pendant la durée de sa validité, de reconnaître l’ordinateur ou téléphone. Certains ont des buts purement techniques (mémoriser les mots de passe, adapter la résolution d’affichage, retenir le panier d’achat…), tandis que d’autres permettent de mesurer l’audience d’un site web, ou d’afficher de la publicité ciblée…

Aujourd’hui, d’autres technologies de traçage sont utilisées : on peut par exemple parler du pixel invisible (nommé aussi GIF transparents ou balise d’action) : c’est un fragment de code qui se présente sous la forme d’une image minuscule sur la page web. Il permet de reconnaitre l’heure et la date de la consultation d’une page et de collecter des informations techniques comme l’adresse IP, la configuration de la machine… Ou encore la technologie du « fingerprinting » qui permet de calculer un identifiant unique de la machine via des éléments de sa configuration.

Ce projet de la recommandation CNIL relative aux traceurs et cookies est résumé à travers ce document. Il est important de rappeler que la doctrine de la CNIL est encore susceptible d’évoluer, le document ici étudié étant un « projet » de recommandation. Une version définitive de la recommandation est susceptible d’être publiée au troisième trimestre 2020.

Identifier les traceurs soumis / non soumis à consentement

Les traceurs strictement nécessaires au bon fonctionnement du site web, à la fourniture du service ou à la facilitation de la communication par voie électronique sont exemptés de consentement. Ainsi, dans le projet de la recommandation CNIL de janvier 2020, des traceurs non soumis au consentement sont listés (page 3, paragraphe 9).

A l’inverse, les autres traceurs doivent recueillir le consentement de l’utilisateur pour être déposé et utilisé. Par exemple, sont concernés les traceurs utilisés pour personnaliser le contenu éditorial ou les produits et services affichés par l’éditeur, ou encore les traceurs utilisés à des fins de publicité personnalisée.

Conditionner le traçage des personnes au recueil du consentement

Lorsque les traceurs sont soumis au consentement, ces derniers ne doivent fonctionner / être déposés qu’après le recueil du consentement. Un utilisateur continuant sa navigation sans donner son choix (il n’a pas consenti, mais il n’a pas refusé non plus) sera considéré comme n’ayant pas donné son consentement.

Informer les personnes avant le recueil du consentement

Si projet de la recommandation CNIL de janvier 2020 ne fait pas de référence explicite à un bandeau d’information, une information sur les finalités des traceurs doit être communiquée à l’utilisateur « avant que celui-ci se voie offrir la possibilité de consentir ou de ne pas consentir à leur utilisation » (page 5, paragraphe 17).

Le projet préconise que chaque finalité soit mise en exergue dans un intitulé court et mis en évidence, lequel serait accompagné d’un bref descriptif (par exemple une phrase). Cette information devra figurer dans un bandeau ou une fenêtre, à l’arrivée de l’utilisateur sur le site.

Un second niveau d’information est indispensable, permettant à l’utilisateur de comprendre plus précisément les finalités poursuivies, en savoir plus sur les données collectées, connaitre l’existence de ces droits, être informé de la possibilité de retirer son consentement à tout moment, connaître la durée de validité de son consentement et la liste à jour de l’ensemble des destinataires des données récoltées (notamment concernant les cookies tiers).

Ainsi, par exemple, ce second niveau d’information peut être affiché sous un bouton de déroulement que l’utilisateur peut activer directement au premier niveau d’information. Elle peut également être rendue disponible en cliquant sur un lien hypertexte présent au premier niveau d’information et redirigeant vers une page dédiée (par exemple, une « politique de confidentialité », ou une « politique des traceurs et cookies »).

Permettre à la personne d’exercer librement son choix

L’utilisateur doit pouvoir selon la même facilité, les mêmes modalités techniques et la même grammaire visuelle accepter ou refuser l’utilisation des traceurs. Lorsqu’il refuse, l’utilisateur ne doit pas subir de préjudice et son choix doit être enregistré.

Par exemple, lorsque l’utilisateur atterrit sur une page du site, l’information de premier niveau précédemment citée (recommandation 3) doit apparaitre, ainsi que les boutons d’acceptation, de refus et de personnalisation.

Si le choix doit être libre, le moment où il doit être réalisé doit l’être aussi. Ainsi, l’utilisateur doit être en mesure de pouvoir retarder sa décision et naviguer sur le site. Dans cette situation, l’utilisateur est réputé ne pas avoir donné son consentement à l’utilisation des traceurs, mais pourra alors être sollicité de nouveau tant qu’il n’exprime pas de choix.

Par exemple, afin de permettre à l’utilisateur de ne pas faire de choix, une croix de fermeture (voir ci-dessous), un bouton « Me le demander plus tard » ou bien permettre à l’utilisateur de faire disparaitre la fenêtre en cliquant en dehors de l’interface sont des solutions envisageables.

Permettre à la personne d’exercer son choix pour chaque finalité

Une fois que l’information de premier niveau présentant l’ensemble des finalités est réalisée auprès de l’utilisateur, ce dernier doit être en mesure de consentir finalité par finalité. Il a également la possibilité de refuser ou d’accepter de manière globale l’utilisation des traceurs, via par exemple des boutons d’acceptation et de refus globaux intitulés « tout accepter » et « tout refuser » mis en évidence de la même manière (voir image précédente).

Un troisième bouton intitulé « personnaliser mes choix » ou « décider par finalité » doit être présent, reprenant la même grammaire visuelle que les boutons précédents. Lorsque l’utilisateur clique dessus, il doit être redirigé vers une interface lui permettant de choisir finalité par finalité les traceurs qu’il souhaite autoriser (exemple ci-dessous). Dans le cas des cookies tiers, le projet recommande de prévoir également un choix destinataire par destinataire.

Permettre à la personne d’exercer son choix de manière active

Le consentement doit être exprimé par l’utilisateur via une manifestation positive de sa part. L’authentification ou la connexion à un compte personnel, ou l’acceptation des CGU/CGV ne constituent pas un acte valide de consentement.

Par ailleurs, dans l’interface permettant de paramétrer finalité par finalité, aucune case ne doit être pré-cochée. C’est l’utilisateur qui doit cocher les finalités (et destinataire dans le cas des cookies tiers) pour lesquelles il souhaite autoriser les traceurs.

Permettre à la personne de retirer son consentement

L’utilisateur doit avoir la possibilité de retirer son consentement à tout moment. Pour ce faire, le projet donne comme exemple « un lien accessible à tout moment depuis le service concerné, afin de garantir que les utilisateurs puissent retirer leur consentement avec la même facilité qu’ils l’ont donné. Il est recommandé d’utiliser une dénomination descriptive et intuitive telle que « module de gestion des cookies » ou « gérer mes cookies » ou bien « cookies », etc.

L’éditeur d’un site web peut également fournir à l’utilisateur un module de paramétrage accessible sur toutes les pages du site au moyen d’une icône « cookie », située en bas à gauche de l’écran, lui permettant de retirer aisément son consentement. » (Page 17, paragraphe 56). Un exemple ci-dessous.

Lorsque l’utilisateur clique sur ce bouton ou sur ce lien, il est redirigé vers l’interface lui permettant de choisir finalité par finalité (et destinataire par destinataire, dans le cas des cookies tiers). Des boutons permettant d’accepter ou de refuser de manière globale doivent également être présents.

Conserver le consentement de la personne

La preuve du consentement doit être conservée pour chaque utilisateur. Le responsable de traitement doit être en mesure de prouver la date à laquelle le consentement a été donné, et que le mécanisme de recueil utilisé présente l’ensemble des caractéristiques permettant de recueillir un consentement valable : libre (l’utilisateur a bien eu le choix), spécifique (l’utilisateur a bien pu choisir les finalités pour lesquels il autorise les traceurs et dans le cas des cookies tiers les destinataires de ses données), éclairé (l’utilisateur a été informé avant de donner son consentement) et univoque (l’utilisateur a bien réalisé un acte positif pour exprimer son consentement).

Concrètement, la preuve de l’existence et de la conformité d’un mécanisme de recueil du consentement peut se faire via une capture d’écran du rendu visuel affiché sur un terminal mobile ou bureau pour chaque version du site ou de l’application, ou via des audits réguliers réalisés par des prestataires externes.

Renouveler le consentement de la personne

Dans la mesure où le consentement à être suivi peut-être oublié par les personnes qui l’ont manifesté à un instant donné, le projet recommande que celui-ci soit renouvelé à des intervalles appropriés sans attendre que l’utilisateur ait retiré son consentement. La durée de validité du consentement dépendra du contexte, de la portée du consentement initial et des attentes de l’utilisateur. De manière générale, la CNIL estime qu’une durée de validité de six mois à partir de l’expression du choix de l’utilisateur est adaptée.