La nouvelle réglementation sur les cookies applicable à l’automne 2020 : nos recommandations
Publié 14 mai 2020
Le 12 mars dernier, la CNIL annonçait sa stratégie de contrôle pour l’année 2020 qui sera axée sur trois points de contrôle. L’un de ces trois points sera le contrôle des cookies et autres traceurs à partir de l’automne 2020, date de l’entrée en vigueur de la nouvelle réglementation applicable aux cookies[1].
Les nouvelles lignes directrices sur les cookies et traceurs applicables à l’automne 2020
La CNIL a adopté une délibération au mois de juillet dernier[2] (lire notre article sur le sujet) prévoyant notamment la fin du consentement tacite par la poursuite de la navigation sur le site. L’adage « qui ne dit mot consent » ne sera donc plus toléré en matière de cookies d’ici quelques mois.
En effet, la CNIL a prévu une période transitoire dite « d’adaptation » pour les professionnels durant toute le premier semestre 2020 pour une application des nouvelles lignes directrices à l’automne.
Le consentement relatif aux cookies devra être manifesté par l’internaute de manière libre, univoque, spécifique et éclairée et le professionnel devra être en mesure de rapporter la preuve datée du consentement individuel.
Le projet de recommandation CNIL de janvier 2020 sur les cookies et traceurs
Le 14 janvier 2020, la CNIL a publié son projet de recommandation sur les cookies et traceurs qui sera potentiellement applicable à l’automne 2020[3]. Quelques points notables :
- Le rappel de l’importance d’une information claire et distincte sur les cookies,
- La durée de conservation maximale des cookies passerait de 13 à 6 mois,
- Le refus de consentir aux cookies ne doit pas bloquer l’accès au site, ni laisser place à de multiples apparitions de la fenêtre de consentement / personnalisation des cookies ne disparaissant qu’à partir du moment où l’internaute donne son consentement. Un recueil dans de telles conditions constituerait un consentement contraint (non libre) et par conséquent non valable selon la CNIL.
Ce projet de recommandation a fait l’objet d’une consultation publique jusqu’au 25 février 2020[4]. La présentation de la recommandation définitive devait avoir lieu au début du mois d’avril mais a été reportée compte tenu de la situation sanitaire actuelle.[5]
Quelques recommandations pour votre mise en conformité en matière de cookies et traceurs
Sous réserve des dispositions de la recommandation définitive de la CNIL à venir, nous vous recommandons notamment de :
- Mettre à jour vos documents d’informations sur les cookies sur votre site pour tenir compte des nouvelles lignes directrices de la CNIL,
- Mettre en place une information la plus claire possible, facilement accessible et identifiable. Cela passe par la mise en place d’une information sur plusieurs échelons :
- Maintien du bandeau d’accueil informatif sur les cookies (aussi appelé « bandeau cookies ») contenant un lien vers la fenêtre de personnalisation des cookies (aussi appelée « fenêtre de consentement cookies») et vers la Charte sur la gestion des cookies (ou « Charte cookies »),
- Mise en place de la fenêtre de personnalisation, obligatoire depuis 2018, mais qui ne l’est toujours pas sur un certain nombre de sites internet. Cette fenêtre doit permettre à l’internaute de personnaliser ses choix en matière de cookies et traceurs. L’internaute doit avoir a minima la possibilité de personnaliser ses choix finalité par finalité. Mais, plus le choix sera précis avec par exemple un recueil de consentement par éditeur de cookies ou par cookies, et plus le consentement sera éclairé et donc valable. NB : Il est possible de recueillir un consentement global pour l’ensemble des cookies à condition que l’ensemble des finalités des cookies soient présentées au préalable et que l’internaute dispose aussi d’une possibilité de choisir par finalité.
- La Charte cookies doit être indépendante et publiée sur une page ou un onglet dédié. La publication de la Charte cookies sur la même page que les mentions légales, sur la page des CGU ou (plus fréquemment) sur la page de la Politique de confidentialité / RGPD du site est fortement déconseillée. En effet, même si certains cookies utilisent des données personnelles et se voient appliquer les dispositions du RGPD, ce n’est pas le cas de tous les cookies. Certains cookies ne collectent pas de données personnelles et ne sont donc pas soumis au RGPD. D’où la nécessité de bien distinguer la Politique de Confidentialité (RGPD) et la Charte cookies et de les publier sur des pages spécifiques et distinctes.
Point de vigilance particulier : la validité des consentements déjà recueillis au moment de l’entrée en vigueur de la nouvelle recommandation
Parce que le consentement qui pouvait être jusqu’alors implicite va devoir être obligatoirement explicite, nous vous recommandons de faire table rase des consentements recueillis précédemment pour les cookies et d’effectuer un nouveau recueil de consentements quand la nouvelle réglementation sera applicable.
Une fois collecté, le consentement pourra être conservé 6 ou 13 mois (en fonction de la durée de conservation maximale des cookies qui sera adoptée par la CNIL) sous réserve que l’internaute n’active pas son droit au retrait du consentement entre-temps.
Ces réglementations sont très techniques et peuvent vite s’apparenter à un véritable casse-tête, n’hésitez pas à nous contacter si vous avez des questions ou si vous avez besoin d’une assistance dans la mise en conformité de votre site internet en matière de cookies et autre traceurs.
[1] CNIL, « Quelle stratégie de contrôle pour 2020 ? », publié le 12 mars 2020, consulté le 13 mai 2020, URL : https://www.cnil.fr/fr/quelle-strategie-de-controle-pour-2020
[2] délibération n°2019-093 du 4 juillet 2019 portant adoption des lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou en écriture dans le terminal d’un utilisateur, consultable sur Legifrance.gouv.fr, consulté le 13 mai 2020, URL : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038783337&categorieLien=id
[3] CNIL, « La CNIL lance une consultation publique sur son projet de recommandation « cookies et autres traceurs» », publié le 14 janvier 2020, consulté le 13 mai 2020, URL : https://www.cnil.fr/fr/la-cnil-lance-une-consultation-publique-sur-son-projet-de-recommandation-cookies-et-autres-traceurs
[4] idem
[5] CNIL, « Adaptation du calendrier d’adoption de la recommandation « cookies et autres traceurs » », publié le 25 mars 2020, consulté le 13 mai 2020, URL : https://www.cnil.fr/fr/adaptation-du-calendrier-dadoption-de-la-recommandation-cookies-et-autres-traceurs