Les cookies selon la CNIL
Auteurs : Marine Vanhoucke, associée, Michela Navarra et Anaïs Martine
Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données en 2018, la CNIL semblait plutôt clémente dans le prononcé des sanctions à l’encontre des entreprises ne respectant pas le droit de la protection des données personnelles. Mais ces derniers mois, cette approche semble clairement abandonnée : on observe un net durcissement des amendes comme l’illustrent celles infligées aux GAFA pour non-respect des dispositions relatives aux traceurs des utilisateurs généralement appelés « cookies ».
Ainsi Microsoft a été condamné au paiement de 60 millions d’euros en raison de « l’absence de mise en place d’un mécanisme qui permet de refuser les cookies aussi facilement que de les accepter ». Apple a été sanctionné à hauteur de 8 millions d’euros car le consentement des utilisateurs français d’IPhone n’avait pas été recueilli avant de retranscrire leurs identifiants utilisés à des fins publicitaires sur les terminaux du groupe. Tiktok a fait l’objet d’une amende de 5 millions d’euros car « les utilisateurs du site ne pouvaient pas refuser les cookies aussi facilement que les accepter et ils n’étaient pas informés de façon suffisamment précise des objectifs des différents cookies ». Enfin, la société Voodoo s’est récemment vue condamnée au paiement d’une amende de 3 millions d’euros pour avoir « tracé » des utilisateurs sans leur consentement préalable. En effet, l’éditeur de jeux vidéo sur mobile utilisait l’identifiant technique des utilisateurs d’IPhone pour suivre leur activité et leur adresser des publicités personnalisées, alors qu’ils avaient clairement indiqué ne pas souhaiter être suivis par l’utilisation de ces traceurs.
La CNIL veille donc désormais à ce que l’utilisateur soit en mesure de comprendre l’utilisation faite des traceurs et qu’elle soit, dans tous les cas, soumise au consentement préalable. D’après les recommandations de la CNIL, l’information et le consentement relatifs à l’utilisation des cookies doivent être recueillis de la manière suivante :
- Avant de pouvoir librement consentir, l’utilisateur doit être informé par un intitulé succinct, des finalités et des conséquences liées à une acceptation ou à un refus descookies. Il doit également être informé de l’identité des acteurs utilisant ces traceurs ;
- L’utilisateur doit pouvoir consentir aux cookies par un acte positif clair : par exemple le fait de cliquer sur « j’accepte » ;
- Chaque finalité doit être indiquée par un intitulé court présentant un bref descriptif ;
- L’utilisateur doit pouvoir faire un choix par finalité, par exemple si l’ensemble des finalités est exposé au préalable, il est possible de prévoir un choix entre « tout accepter » ou « tout refuser » ;
- La liste exhaustive et à jour des responsables de traitement doit être mise à disposition de l’utilisateur au moment du recueil du consentement : (ex : lien hypertexte, bandeau déroulant accessibles depuis l’interface de consentement) ;
- L’utilisateur doit pouvoir retirer son consentement facilement et à tout moment ;
- L’utilisateur doit être en mesure de refuser les cookies aussi facilement que de les accepter ;
- Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.
La CNIL a également donné des précisions concernant la durée de conservation desdits traceurs. Celle-ci est en principe de 6 mois pour les cookies soumis au consentement, sauf pour les cookies statistiques exemptés de consentement pour lesquels une durée de conservation maximum de 13 mois est possible. En ce qui concerne la conservation des données personnelles recueillies via ces cookies, la durée maximum recommandée est de 24 mois pour les données recueillies via les cookies statistiques mais aucune précision n’est donnée pour les autres cookies. La durée de conservation sera déterminée en fonction des finalités de ces derniers.
En outre, la CNIL recommande de :
- Prévoir que l’interface de recueil du consentement ne comprenne pas seulement un bouton « tout accepter » mais également un bouton « tout refuser » ;
- Prévoir que soient conservés non seulement les consentements mais aussi les refus afin de ne pas questionner les utilisateurs à nouveau lors de leurs visites ultérieures ;
- Recueillir le consentement sur chacun des sites concernés, lorsque les cookies permettent un suivi sur des sites autres que le site visité, afin que l’internaute soit conscient de la portée de son consentement.
Si de nombreux sites ont déjà effectué un travail de mise en conformité concernant les traitements de données personnelles et la gestion des cookies, les sites récalcitrants doivent rapidement se conformer aux exigences en la matière sous peine de sanctions conséquentes.
Marine Vanhoucke
Associée
Marine Vanhoucke conseille les entreprises en matière de Propriété Intellectuelle et les accompagne sur leurs sujets de Conformité.
Responsable du bureau de Hong Kong, elle assiste les sociétés françaises dans leur implantation et croissance en Asie et a construit une expertise des questions juridiques de droit international, mêlant notamment des intérêts français et asiatiques.