in

“Cookiesification”: CNIL, RGDP, CEPD, droit et obligations; la recette pour de bons cookies

Qui n’aime pas les cookies sortis tout chaud du four? Bons pour nos papilles, ces petits sablés le sont moins pour notre tour de taille! Mais qu’en est-il de nos amis témoins de nos connexions sur Internet? Les cookies informatiques, ces espions qui hantent la toile pour espionner nos navigations depuis les années 90. C’est ce sujet complexe et brûlant que la commission juridique de l’ACSEL, avec, à sa tête, le succulent Eric Barbry, avocat associé chez Racine Avocats, a choisi de décortiquer pour le plus grand plaisir des participants de son dernier webinar. Régalez-vous!

Dans la marmite: nos espions, les cookies; quelques ingrédients issus de la réglementation au niveau national mais aussi Européen; des épices pour titiller le tout et surtout des questions pour sublimer notre palet.

Le Chef Eric aux commandes

Si le sujet des cookies touche sans aucun doute le droit des personnes, le cadre réglementaire qui les entoure n’a de cesse d’évoluer; complexifiant un sujet qui déjà, à l’origine, n’est pas simple.

Le flou et les méandres de l’histoire de notre protection individuelle en matière

d’informatique et de libertés nous enlise. Tenter de comprendre lorsque l’on est pas un professionnel du droit relève du défi! 

Envoyez la sauce!

Tout démarre le 12 juillet 2002 avec la directive 2002/58/CE. Directive européenne, celle-ci concerne la protection de la vie privée dans le secteur des communications électroniques; elle vise à protéger de façon spécifique la vie privée sur Internet. Transposée à l’automne 2003 puis en août 2004, les nouveaux textes précisent la protection des personnes physiques à l’égard des traitements de données à caractère personnel. Jusque-là vous avez suivi le fil; mais attention! Retour arrière et piments à l’horizon. Cette dernière transposition vient modifier la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, plus connue sous le nom de loi informatique et libertés. Cette loi française réglemente la liberté de traitement des données personnelles, c’est-à-dire la liberté de ficher les personnes humaines.

Nouveau rebondissement en 2009, le 25 novembre, avec la directive 2009/136/CE du Parlement européen et du Conseil qui modifie son aînée, la directive 2002/58/CE.

Après plusieurs tours de moulin à poivre, arrivent, abrogeant la directive 95/46/CE (règlement général sur la protection des données), le règlement (UE) 2016/679 du Parlement européen et du Conseil en avril 2016 (relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données), suivi en 2020 par les directives du Comité Européen de la Protection des Données (EDPB); un organe européen indépendant contribuant à l’application cohérente des règles en matière de protection des données au sein de l’Union européenne.

Et, cerise sur le cookie, le RGPD! Starifié depuis son adoption définitive par le Parlement européen en avril 2016, le Règlement général sur la protection des données est applicable dans l’ensemble des États membres de l’Union européenne depuis mai 2018. Celui-ci a d’intéressant le fait qu’il adresse le point du consentement. Grains de riz dans notre farine de blé… le mécanisme d’opposition envisageable entraîne à sa suite une multitude de nouvelles questions et de nouveaux problèmes.

 

Ainsi nous sommes passés de l’obligation d’information, à l’accord puis au consentement volontaire et traçable.

Un paysage de plus en plus complexe – que dit la loi?

Règle n° 1 – Le droit des cookies bénéficie à l’abonné ou à l’utilisateur du service de communication au public, autrement dit à l’internaute mais aussi à l’utilisateur d’autres services tels que les applications mobiles.

 

Règle n° 2 – Cette obligation pèse sur les épaules du responsable de traitement ou de son représentant. 

L’identité du maître des cookies. Il s’agit de comprendre qui est responsable de quoi? La loi pèse sur le responsable de traitement. Sans oublier à ce stade que le point peut faire surgir potentiellement d’autres problématiques liées au commerce cross border par exemple.

 

Règle n° 3 – L’internaute doit être « informé de manière claire et complète » :

  • d’une part, de la finalité de toute action tendant à accéder à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement. Il s’agit donc d’informer l’internaute des finalités (objectifs) des cookies déposés ; 
  • d’autre part, des moyens de s’y opposer. Ce second point est capital car il conduit à une double obligation : une obligation d’informer mais aussi, par rebond, de donner les moyens à l’internaute de s’y opposer

 

Règle n° 4 – Il s’agit du principe de base qui a amené à de nombreux contrôles de la CNIL.

La mise en œuvre des cookies ne peut avoir lieu que si, après avoir reçu cette information, l’internaute a exprimé son consentement

 

Règle n°5 – (importante) Le texte précise de manière non ambiguë que cette acceptation peut s’opérer de deux manières :

  • par des paramètres appropriés du dispositif de connexion de l’internaute ;
  • ou de tout autre dispositif placé sous son contrôle.

 

Règle n°6 – Ces dispositions ne sont pas applicables aux cookies :

  • dont la finalité exclusive est de permettre ou faciliter la communication par voie électronique ;
  • dont la finalité est strictement nécessaire à la fourniture d’un service en ligne à la demande expresse de l’utilisateur.

Et que dit la CNIL?

Deux questions se posent devant le flou ambiant : les lignes directrices de la CNIL sont-elles opposables? Quel est leur réel statut juridique? Si aucune réponse claire n’existe, la CNIL indique dans l’article 82 le référentiel applicable. 

L’autorité administrative alerte ainsi sur le fait que notre attention doit se porter sur 2 axes essentiels en matière de cookies. Tandis que certains ont pour visée de récupérer les données des personnes, d’autres cookies sont destinés à la personnalisation anonyme. Ici, le RPGD monte au créneau avec par exemple le droit au profilage décrit dans ses textes.

De fait le droit des cookies ne se limite pas au droit des cookies; la CNIL parle de régime d’exception.

 

Il est d’absolue nécessité de créer une politique de confidentialité. Ce document d’information concernant le droit des personnes doit faire figurer, dans un paragraphe idoine, l’usage que l’on fait des cookies (comme la langue d’usage par exemple ou des informations relatives au panier de l’acheteur…). 

De plus il est nécessaire que toute organisation mette en exergue le responsable de traitement en indiquant les cas particuliers comme des tierces parties éventuellement.

La notion de réceptacle, terminal de réception des cookies, est également dans le scope tout comme l’acte de validation volontaire de l’internaute.

Plus en détails

Règle n° 1 – Le référentiel légal = Article 82 + RGPD (notamment le consentement)

Règle n° 2 – Rappel de l’exception pour les cookies dits techniques (nécessaires) – Mais la Cnil précise toutefois que pour assurer une transparence pleine et entière sur ces opérations, les utilisateurs doivent être informés de leur existence et de leur finalité en intégrant, par exemple, une mention dans la politique de confidentialité des organisations y ayant recours

Règle n° 3 – Qui est responsable – Rappel de diverses situations : RT – CoRT – RT/ST ou RT/tiers

Règle n° 4 – La notion de « terminal » est large = tablette, mobile multifonction (« smartphone »), ordinateur fixe ou mobile, console de jeux vidéo, télévision connectée, véhicule connecté, assistant vocal, ainsi que tout autre objet connecté à un réseau de télécommunication ouvert au public

Règle n° 5 – La notion de cookies aussi est large « toute action visant à accéder ou inscrire des informations sur le terminal de l’internaute ».

Règle n° 6 – Le consentement est « préalable » – Aucun cookie ne peut être utilisé avant que l’internaute n’ait exprimé son consentement. 

Règle n° 7 – Le consentement est un « acte positif clair »

Règle n° 8 – Le consentement doit respecter les règles suivantes  :

  • « Libre » = Interdiction d’obliger à accepter les cookies, donc interdiction des cookies wall ;
  • « Spécifique » = Possibilité de choisir de manière indépendante en fonction des finalités. Possibilité d’avoir une acceptation globale « acceptable » à condition que cela s’ajoute, sans la remplacer, à la possibilité de consentir spécifiquement à chaque finalité.
  • « Éclairé » = L’information doit être rédigée en des termes simples et compréhensibles pour tous, et doit permettre aux utilisateurs d’être parfaitement informés des différentes finalités des traceurs utilisés.
  • « Univoque » = Le consentement doit se manifester par le biais d’une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer.

Règle n° 9 – Le responsable de traitement doit conserver la preuve du consentement

Règle n° 10 – Le responsable de traitement fait droit au retrait du consentement

Règle n° 11 – “OUPS”

  • La Cnil considère néanmoins que « ces paramétrages du navigateur ne peuvent, en l’état de la technique, permettre à l’utilisateur d’exprimer la manifestation d’un consentement valide ». Elle estime notamment que le paramétrage du navigateur ne permet pas d’appréhender tous les cookies (notamment les fingerprinting), qu’il n’est pas possible d’opérer un choix par catégorie de finalités et que la mise en œuvre de ces règles de paramétrage est souvent complexe.
  • La Commission considère que les navigateurs pourraient évoluer afin d’intégrer des mécanismes permettant de recueillir un consentement conforme au RGPD. Une telle évolution permettrait notamment aux éditeurs qui ne disposent pas des moyens ou des compétences pour mettre en place des mécanismes de recueil du consentement de s’appuyer sur de tels mécanismes.

Point d’attention

Il faut distinguer les différents types de cookies dits de mesures d’audience. Ceux qui sont intrusifs et ceux qui visent à mesurer l’audience d’une application, d’un site Internet ou encore de tests de performance. Ces derniers peuvent aussi présenter un caractère nécessaire à la fourniture d’un service contractualisé par l’utilisateur; le recueil du consentement n’est alors pas requis; il doit toutefois être clairement notifié l’usage de cookies au préalable.

Et du côté Européen, que dit la CEPD?

En mai 2020, le CEPD, contrairement à de fausses interprétations qui ont circulé, a donné des lignes directrices sur le consentement. Les lignes directrices 05/2020 relatives au consentement en application du RGPD ne traitent pas directement des cookies.

De fait, le consentement doit être libre. L’usage de Cookie Wall est interdit.

Et du côté des juges

Le Conseil d’Etat s’est attaché au problème des cookies de tiers; ceux intégrés à votre site Internet mais dont vous n’héritez pas du traitement proprement dit. 

Et bien le législateur entend une coresponsabilité du fait que les éditeurs de sites autorisant le dépôt et l’utilisation de tels « cookies » le font en toute conscience. De ce fait ils héritent d’une part de la responsabilité de traitement mais ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le « cookie ».

Bonnes et mauvaises pratiques

Il faut distinguer 3 types de cookies. Ceux dits techniques, ceux de mesure d’audience, et les autres, les cookies intrusifs.

Concernant les cookies techniques, ils ne requièrent pas de consentement particulier; il faut néanmoins les indiquer dans une notification préalable à l’internaute et en faire mention dans la politique. Pour les cookies de mesure d’audience, ils sont soumis au droit d’opposition; à une politique de confidentialité clairement décrite. Ils doivent également être gérés directement par l’organisation. Quant aux autres cookies, suivant la description qu’en fait la CNIL sur son site, ils peuvent être soumis à l’article 82 uniquement ou à l’article 82 et au RGPD.

Les incontournables

La mise en place d’outils est indispensable ainsi qu’une politique d’information

 

Les classiques ‘bandeaux cookies’ permettent de proposer plusieurs options à l’internaute. Des plus complètes et satisfaisantes au moins contraignantes mais aussi plus risquées, chaque organisation peut trouver et/ou adapter sa solution en fonction de la nature de son besoin.

Ainsi on peut installer des bandeaux d’acceptation interdisant l’accès au site si l’internaute ne réalise pas une validation intégrale ou un refus complet des cookies; des bandeaux d’acceptation avec possibilité d’accès à une partie du site mais avec l’affichage permanent dudit bandeau (qui nuit forcément au bon usage du site mais avec des boutons de validation « tout accepter » / « toute refuser » permettant de remédier à la nuisance visuelle à tout moment). Des bandeaux d’acceptation ou d’impossibilité d’accéder au site sans validation faisant apparaître trois boutons « tout accepter » / « toute refuser » / « paramétrer vos cookies ».

Le fait de donner le choix à l’internaute entre entrer immédiatement ou passer par la page de paramétrage conduit souvent l’internaute à valider le bouton « tout accepter ».

Gare aux mauvais choix: les bandeaux à oublier

Oubliez les Cookies Wall, les bandeaux d’acceptation proposant une seule option à savoir « tout accepter », même si cela ne conditionne pas l’accès au site; ceux qui renvoient aux fonctionnalités du navigateur ou encore la formule « en poursuivant votre navigation vous acceptez nos cookies ».

Point de vigilance: les contrats

La politique client n’est pas la politique cookies! Il vous faut établir des politiques distinctes, précises et détaillées.

De plus il vous faut veiller à la teneur des contrats que vous devez établir avec vos plateformes de content management (CMP) ou d’émetteurs de cookies tiers. Le cadre doit être parfaitement et clairement défini, tout comme les rôles de chacun, les responsabilités, leur conformité au RGPD, les clauses de résiliation, etc.

Et demain

Il est indiscutable que la réglementation sur les cookies va évoluer dans les prochains mois; dans la foulée ce sont vos politiques cookies qui vont devoir s’adapter dans les textes et dans les faits. 

La CNIL a proposé en Janvier dernier une consultation publique sur son projet de recommandation “cookies et autres traceurs”. Si les résultats se font attendre, l’objectif: la mort des cookies! Affaire à suivre.

 

Pour découvrir ou redécouvrir par vous-même les beautés de la fontaine à cookies vu par la commission juridique de l’ACSEL, nous vous invitons à cliquer ici pour accéder au replay du webinar “Droit des Cookies” du 4 juin 2020

 

Article écrit par Corinne Estève Diemunsch, Limonetik pour l’ACSEL

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.