LA CONFORMITÉ DES COOKIES
& AUTRES TRACEURS

Vous êtes éditeurs de sites web et/ou d’applications mobiles, ou régie publicitaire ou concepteur de site internet ? Alors vous êtes concernés par ces recommandations de la Commission Nationale Informatique et libertés (CNIL). La CNIL a adopté en septembre 2020 (et publié au JO en Octobre 2020), de nouvelles recommandations (n° 2020-092), sur les modalités pratiques de conformité des « cookies » et autres « traceurs ». La CNIL a déjà annoncé qu’elle pourrait poursuivre les manquements, à ces recommandations notamment en cas d’atteinte particulièrement grave au droit au respect de la vie privée.

Opérations concernées par les nouvelles règles de conformité CNIL :

« Toutes les opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans l’équipement terminal de l’abonné ou de l’utilisateur d’un service de communications électroniques ou à inscrire des informations dans celui-ci »

Inclus dans les recommandations

cookies qui surveillent les actions des utilisateurs finaux:
« cookies html », mais aussi les autres traceurs couramment utilisés: « cookie Flash », « local storage », « fingerprinting »,
identifiants matériels ou générés par les systèmes d’exploitation…,
les cookies liés aux opérations relatives à la publicité personnalisée,
les cookies des réseaux sociaux,
etc.

Ces cookies nécessitent que l’utilisateur donne un consentement libre, spécifique, éclairé, univoque.

Exemptés du recueil du consentement

Cookies conservant les choix de personnalisation de l’interface (préférences de langue ou de présentation du service),
Cookies destinés à l’authentification de l’utilisateur et la sécurité de cette authentification,
Cookies visant à conserver en mémoire le panier d’achat, mais également ceux visant à facturer les services ou produits achetés,

Les traitements portant sur les données à caractère personnel collectées ou produites via un traceur, constituant des traitements de données à caractère personnel, relèvent des dispositions du RGPD.

Le Consentement aux cookies doit être…

Préalable• Aucun cookie ne peut être déposé ou lu sur le terminal de l’utilisateur, tant que ce dernier n’a pas donné son consentement.
Univoque• L’utilisateur doit consentir au dépôt de traceurs par une action positive claire (cliquer sur « j’accepte » dans une bannière cookie, ou activation d’interrupteurs). S’il ne le fait pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur son appareil.
LibreAucune obligation d’acceptation, d’enregistrement, ou de lecture de cookies sur son terminal ne peut être imposée à l’utilisateur (dans le but d’avoir accès au service ou au site web)
• 1 consentement = 1 finalité ;
Éclairé• Une information claire (en termes simples et clairs, et avec un design compréhensible par tous), des buts et conséquences des de l’acceptation des cookies doit être donnée à l’utilisateur

Le refus des cookies doit être…

Possible• Il doit être aussi simple de refuser les cookies que de les accepter dès la connexion par l’internaute.
• Le refus ne peut être soumis à conditions.

Le retrait du consentement doit être…

Simple• Il doit être aussi simple de retirer son consentement que de le donner, Les options de retrait du consentement doivent figurer dans un endroit aisément accessible et à tout moment.
• Une information simple et claire, doit être donnée à l’utilisateur concernant les solutions mises à sa disposition pour retirer son consentement (ex: via un lien accessible « gérer mes cookies » ou bien « cookies »)
Sanctions• En mai 2021, après vérification, la CNIL a mis en demeure une trentaine de sociétés du numérique ayant des pratiques non conformes sur les cookies.
Conséquence : 1 mois pour se mettre en conformité ; à défaut elles encourent une sanction = 2% de leur chiffre d’affaires
Décembre 2020 : 2 sanctions importantes pour des pratiques non  conformes en matière de cookies contre :
Google : 100 millions d’euros d’amende
Amazon : 35 millions d’euros d’amende