La CNIL publie son projet de recommandation relatif aux cookies
Depuis la publication de « lignes directrices » en juillet 2019, l’on sait que la CNIL envisage de revoir sa politique en ce qui concerne l’utilisation des cookies, ces petits fichiers textes qui sont utilisés sur internet parfois à des fins techniques (authentification sur un site, sauvegarde du panier d’achat…), mais aussi à des fins de ciblage publicitaire. Au coeur des nouvelles règles à venir se trouve en particulier la question du consentement à l’utilisation de ces cookies.
Le projet de recommandation qui vient d’être mis en ligne par la CNIL pour être soumis à consultation publique porte spécifiquement sur ce point, puisqu’il évoque « les modalités pratiques de recueil du consentement concernant les opérations d’accès ou d’inscription d’informations dans le terminal d’un ordinateur ».
Jusqu’à présent, pour mémoire, la CNIL opérait une distinction entre les cookies techniques et les autres cookies. Dans les deux cas, l’information de l’internaute était indispensable, mais les cookies techniques étaient exemptés du recueil du consentement. Et, s’agissant des autres cookies, en particulier ceux destinés à tracer l’internaute et à lui proposer des publicités adaptées à ses goûts, la CNIL estimait que la configuration du navigateur pouvait valoir consentement, de même que la poursuite de la navigation après l’insertion du bandeau d’information. C’est à cause de cela que l’on ne peut plus naviguer tranquillement sur un site internet sans voir surgir d’énormes bandeaux insupportables.
La situation va-t-elle s’améliorer avec la future recommandation de la CNIL ? Rien n’est moins sûr. D’abord, comme la CNIL le reconnaît, sa doctrine vise à aller « au-delà des exigences légales », ce qui peut paraître légèrement incongru aux yeux des professionnels qui ont déjà fort à faire pour adapter leurs pratiques au RGPD.
S’agissant donc du recueil du consentement, la CNIL maintient qu’il n’est pas nécessaire pour les cookies dont la finalité est purement technique. En langage de la CNIL, cela désigne « les opérations qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou qui sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ».
Pour les autres cookies, en revanche, la recommandation apporte deux grands changements :
d’une part, l’information de l’internaute devra être beaucoup plus précise que ce qui ressort des pratiques actuelles. Aujourd’hui, les sites évoquent des cookies destinés de manière générique et légèrement absconse à « améliorer l’expérience de navigation ». Demain, il faudra indiquer précisément s’il s’agit de cookies destinés à la publicité personnalisée, à la publicité géolocalisée, au partage sur les réseaux sociaux ou encore la mesure d’audience. De même, les mentions d’information devront être plus claires quant à l’identité des responsables de traitement ;
d’autre part, comme évoqué ci-dessus, les modalités de recueil du consentement vont changer. D’abord, contrairement à ce qui est pratiqué de nos jours, les bandeaux ne pourront plus présenter un gros bouton « ACCEPTER » et un autre gros bouton « EN SAVOIR PLUS », qui rend plus complexe le refus des cookies. La CNIL permet l’utilisation de boutons d’acceptation ou de refus globaux, mais dans ce cas, les boutons « ACCEPTER » et « REFUSER » devront être présentés de manière identique. Cela paraît logique.
Par ailleurs, et surtout, la poursuite de la navigation ne pourra plus valoir recueil du consentement. La CNIL demande que le consentement soit véritablement exprimé par un acte positif : case à cocher, boutons à activer… tandis que le fait de simplement cliquer sur la croix de fermeture du bandeau d’information ne doit pas être interprété comme une acceptation ni un refus, mais un moyen de retarder la décision de l’internaute.
Enfin, il est à noter que le consentement doit pouvoir être retiré à tout moment. Les modalités de retrait doivent être aisément accessibles, « tout au long de l’usage du service », par exemple par le biais d’un « module de gestion des cookies », qui pourra être atteint par le biais d’un lien en bas de page du site. Et, même si l’internaute ne cherche pas à retirer son consentement, l’éditeur du site doit renouveler régulièrement sa demande d’opt-in. La CNIL recommande que, tous les 6 mois, le choix soit à nouveau offert aux internautes d’accepter ou refuser les cookies.
Encore faut-il que cela fonctionne car, à l’heure actuelle, bien souvent, l’énorme et insupportable bandeau « cookies » apparaît à chaque nouvelle connexion, même si on accepte l’utilisation des cookies !
En somme, cette nouvelle recommandation n’a pas pour but de simplifier les pratiques mais de renforcer les contraintes pour les éditeurs de site internet. Dans l’intérêt de l’internaute ? Cela reste à voir : combien d’entre nous cliquent sur « ACCEPTER » simplement pour ne plus être embêté avec les mentions d’information sur les cookies ?
Surtout, ce projet de recommandation intervient alors que Google a annoncé que Chrome, son navigateur web, ne prendrait plus en charge les cookies d’ici à deux ans… D’autres méthodes de traçage et ciblage publicitaire existent, peut-être plus intrusives encore, à tel point que le combat de la CNIL peut apparaître un brin d’arrière-garde.
En tout état de cause, il vous est possible de donner votre avis sur ce projet de recommandation avant le 25 février 2020.