Consentement aux « cookies » : les nouvelles règles à suivre (1ère Partie)

 Par Délibération n° 2020-092 du 17 septembre 2020 et n° 2020-091 du 17 septembre 2020, tenant compte de la position du Conseil d’Etat sur les Cookies wall, la CNIL a fixé ses nouvelles règles en matière de lecture et/ou d'écriture de « traceurs » dans l'équipement terminal de communications électroniques de l'abonné ou de l'utilisateur.

A noter que les recommandations qui ont pour seul objectif d'aider les professionnels concernés dans leur démarche de mise en conformité, ne sont pas exclusives : d'autres méthodes de recueil du consentement peuvent être utilisées par les professionnels, dès lors qu'elles permettent d'obtenir un consentement éclairé de l’internaute.  Les principes recommandés peuvent aussi être utilisés pour la télévision connectée, les consoles de jeux vidéo, les assistants vocaux, les objets communicants, les véhicules connectés, etc.

Modalités pratiques d’acceptation des traceurs

Le consentement de l’internaute suppose une action d’acceptation des cookies. Toute inaction ou action des utilisateurs autre qu'un acte positif signifiant son consentement est interprété comme un refus de consentir ; dans ce cas, aucune opération de lecture ou d'écriture soumise au consentement ne peut légalement avoir lieu.

Une demande de consentement effectuée au moyen de cases à cocher, décochées par défaut, est facilement compréhensible par les utilisateurs. Le responsable du ou des traitements peut également avoir recours à des interrupteurs (« sliders »), désactivés par défaut, si le choix exprimé par les utilisateurs est aisément identifiable.

La CNIL recommande de demander aux utilisateurs leur consentement de façon indépendante et spécifique pour chaque finalité distincte, mais cela ne fait pas obstacle à la possibilité de proposer aux utilisateurs de consentir de manière globale à un ensemble de finalités, sous réserve de présenter, au préalable, aux utilisateurs l'ensemble des finalités poursuivies.

Il est possible de proposer des boutons d'acceptation et de refus globaux au stade du premier niveau d'information, via par exemple la présentation de boutons intitulés « tout accepter » et « tout refuser », « j'autorise » et « je n'autorise pas », « j'accepte tout » et « je n'accepte rien » et permettant de consentir ou de refuser, en une seule action, à plusieurs finalités.

Clarté de l’interface de collecte

L’interface de collecte (bandeau ou autres) doit être claire et ne pas induire en erreur les utilisateurs tant au travers du design choisi que de l'information délivrée. Les interfaces standardisées sont encouragées.

Information de premier niveau sur les finalités des traceurs

L’information sur les finalités des traceurs doit être formulée de manière intelligible, dans un langage adapté et suffisamment clair pour permettre aux utilisateurs de comprendre précisément ce à quoi ils consentent. Chaque finalité doit être mise en exergue dans un intitulé court et mis en évidence, accompagné d'un bref descriptif.

Exemples :

- si le ou les traceurs sont utilisés afin d'afficher de la publicité personnalisée, cette finalité peut être décrite de la manière suivante : « Publicité personnalisée : [nom du site / de l'application] [et des sociétés tierces / nos partenaires] utilise / utilisent des traceurs afin d'afficher de la publicité personnalisée en fonction de votre navigation et de votre profil » ;

- si le ou les traceurs ne sont utilisés que pour mesurer l'audience de la publicité affichée, sans la sélectionner sur la base de données à caractère personnel, le responsable du traitement peut utiliser la formulation suivante : « Publicité non personnalisée : [nom du site / de l'application] [et des sociétés tierces / nos partenaires] utilise / utilisent des traceurs dans le but de mesurer l'audience de la publicité [sur le site ou l'application], sans vous profiler » ;

- si la publicité est adaptée en fonction de la géolocalisation précise, cette finalité peut être décrite de la manière suivante : « Publicité géolocalisée : [nom du site / de l'application] [et des sociétés tierces/ nos partenaires] utilise / utilisent des traceurs pour vous adresser de la publicité en fonction de votre localisation » ;

- si les traceurs sont utilisés pour personnaliser le contenu éditorial ou les produits et services fournis affichés par l'éditeur, les formulations suivantes pourraient être affichées : « Personnalisation de contenu : Notre site / application [et des sociétés tierces] utilise / utilisons des traceurs pour personnaliser le contenu éditorial [de notre site / application] en fonction de votre utilisation », ou « Notre site / application [et des sociétés tierces] utilise / utilisons des traceurs pour personnaliser l'affichage de nos produits et services en fonction de ceux que vous avez précédemment consultés [sur notre site / application] ») ;

- si les traceurs sont utilisés afin de partager des données sur les réseaux sociaux, leur finalité peut être décrite de la manière suivante : « Partage sur les réseaux sociaux : Notre site / application utilise des traceurs pour vous permettre de partager du contenu sur les réseaux sociaux ou plateformes présents [sur notre site / application] ».

Pour les réseaux sociaux, l'information et le recueil du consentement peuvent apparaitre lorsque les utilisateurs décident de déclencher la fonctionnalité de partage.

Information de second niveau sur les finalités des traceurs

En complément de la liste des finalités, une description plus détaillée de ces finalités, de manière aisément accessible doit être mise en place (bouton de déroulement …).

Le contenu de cette information additionnelle peut, par exemple, venir préciser que l'affichage de la publicité englobe différentes opérations techniques concourant à la même finalité. Exemples : informations sur le plafonnement de l'affichage (parfois appelé « capping publicitaire », consistant à ne pas présenter à un utilisateur une même publicité de manière trop répétitive), la lutte contre la « fraude au clic » (détection d'éditeurs prétendant réaliser une audience publicitaire supérieure à la réalité), la facturation de la prestation d'affichage, la mesure des cibles ayant plus d'appétences à la publicité pour mieux comprendre l'audience, etc.

Information concernant l'identité du ou des responsables du traitement

Les utilisateurs doivent pouvoir prendre connaissance de l'identité de l'ensemble des responsables du ou des traitements, y compris les responsables de traitement conjoints, avant de donner leur consentement ou de refuser.

La liste exhaustive et régulièrement mise à jour des responsables du ou des traitements doit être mise à la disposition des utilisateurs au moment du recueil de leur consentement (second niveau d'information en accès permanent). La CNIL recommande d'utiliser une dénomination descriptive et utilisant des termes clairs, telle que « liste des sociétés utilisant des traceurs sur notre site / application ».

Les modalités du refus

Le refus des traceurs doit être accessible sur le même écran et avec la même facilité que leur acceptation.

Par exemple, au stade du premier niveau d'information, les utilisateurs peuvent avoir le choix entre deux boutons présentés au même niveau et sur le même format, sur lesquels sont inscrits respectivement « tout accepter » et « tout refuser », « autoriser » et « interdire », ou « consentir » et « ne pas consentir », ou toute autre formulation équivalente et suffisamment claire.  La simple fermeture de la fenêtre de recueil du consentement ne doit pas être considérée comme une acceptation des traceurs. L’option de refus ne doit pas non plus être visuellement moins mise en valeur que l’acceptation.

Conservation des choix du visiteur

Le choix exprimé par les utilisateurs, qu'il s'agisse d'un consentement ou d'un refus, doit être enregistré de manière à ne pas les solliciter à nouveau pendant un certain laps de temps. La durée de conservation de ces choix sera appréciée au cas par cas, au regard de la nature du site ou de l'application concernée et des spécificités de son audience. La durée de validité du consentement choisi par le responsable du traitement doit tenir compte du contexte, de la portée du consentement initial et des attentes des utilisateurs.

Conserver ces choix (tant le consentement que le refus) pendant une durée de 6 mois constitue une bonne pratique de la part des éditeurs.

Retrait et gestion du consentement

La CNIL recommande que les solutions permettant aux utilisateurs de retirer leur consentement soient aisément accessibles à tout moment. La simplicité de l'accès peut notamment se mesurer au temps passé et au nombre d'actions nécessaires pour effectivement retirer le consentement.

La possibilité de retirer son consentement peut par exemple être offerte via un lien accessible à tout moment depuis le service concerné. Il est recommandé d'utiliser une dénomination descriptive et intuitive telle que « module de gestion des cookies » ou « gérer mes cookies » ou bien « cookies », etc. L'éditeur d'un site web peut également fournir aux utilisateurs un module de paramétrage accessible sur toutes les pages du site au moyen d'une icône « cookie », située par exemple en bas à gauche de l'écran, leur permettant d'accéder au mécanisme de gestion et de retrait de leur consentement.

En tout état de cause, la Commission recommande que le mécanisme permettant de gérer et de retirer son consentement soit placé dans une zone qui attire l'attention des utilisateurs ou dans des zones où ils s'attendent à le trouver, et que les visuels utilisés soient les plus explicites possibles.

Preuve du consentement

Les responsables du ou des traitements doivent être en mesure de démontrer, à tout moment, que les utilisateurs ont donné leur consentement. S'agissant de la preuve de validité du consentement, la CNIL recommande notamment les modalités suivantes, non exclusives :

- les différentes versions du code informatique utilisé par l'organisme recueillant le consentement peuvent être mises sous séquestre auprès d'un tiers, ou, plus simplement, un condensat (ou « hash ») de ce code peut être publié de façon horodatée sur une plate-forme publique, pour pouvoir prouver son authenticité a posteriori ;

- une capture d'écran du rendu visuel affiché sur un terminal mobile ou fixe peut être conservée, de façon horodatée, pour chaque version du site ou de l'application ;

- des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre par des tiers mandatés à cette fin ;

- les informations relatives aux outils mis en œuvre et à leurs configurations successives (tels que les solutions de recueil du consentement, également connues sous l'appellation CMP, pour « Consent Management Plateform ») peuvent être conservées, de façon horodatée, par les tiers éditant ces solutions.

Traceurs exemptés du recueil du consentement (Analytics et autres)

Pour rappel, l'article 82 de la loi « Informatique et Libertés » n'impose pas d'informer les utilisateurs sur l'existence d'opérations de lecture et écriture non soumises au consentement préalable. Par exemple, l'usage par un site web d'un cookie de préférence linguistique stockant uniquement une valeur indiquant la langue préférée de l'utilisateur est susceptible d'être couvert par l'exemption et ne constitue pas un traitement de données à caractère personnel soumis au RGPD. Toutefois, afin d'assurer une transparence pleine et entière sur ces opérations, la Commission recommande que les utilisateurs soient également informés de l'existence de ces traceurs et de leurs finalités en intégrant, par exemple, une mention les concernant dans la politique de confidentialité.

S'agissant, plus spécifiquement, des traceurs de mesure d'audience exemptés du recueil du consentement, la CNIL recommande que :

- les utilisateurs soient informés de la mise en œuvre de ces traceurs, par exemple via la politique de confidentialité du site ou de l'application mobile ;

- la durée de vie des traceurs soit limitée à une durée permettant une comparaison pertinente des audiences dans le temps, comme c'est le cas d'une durée de treize mois, et qu'elle ne soit pas prorogée automatiquement lors des nouvelles visites ;

- les informations collectées par l'intermédiaire de ces traceurs soient conservées pour une durée maximale de vingt-cinq mois ;

- les durées de vie et de conservation ci-dessus mentionnées fassent l'objet d'un examen périodique.

Ces traceurs exemptés du recueil du consentement ne devraient être utilisés que pour une seule et même finalité et le recours à des techniques de masquage de l'identité de l'entité utilisant des traceurs, telles que la délégation de sous-domaine, serait à proscrire.

La Commission recommande également que les noms des traceurs utilisés soient explicites et, dans la mesure du possible, uniformisés quel que soit l'acteur à l'origine de leur émission.

Enfin, la Commission encourage les professionnels à nommer le traceur permettant de stocker le choix des utilisateurs « eu-consent », en attachant à chaque finalité une valeur booléenne « vrai » ou « faux » mémorisant les choix effectués.