Mais qu’est-ce qu’un cookie ? Ce n’est pas ici le petit biscuit sec rond dont il est question, mais sa version informatique présente sur nos sites web.
C’est un fichier composé d’un ensemble de caractères envoyé à un terminal qui peut avoir diverses fonctions : certains peuvent avoir un rôle technique, par exemple de garder la liste des achats ou l’identifiant d’un utilisateur en mémoire.
D’autres, plus intrusifs, analysent le comportement et les habitudes de consommation d’un internaute afin, notamment, de lui proposer des publicités ciblées.
Les éditeurs de sites web utilisant de plus en plus les cookies, les autorités de contrôle européennes se sont interrogées sur leurs réglementations afin de garantir certains droits aux internautes.
En France, et avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), la Commission Nationale Informatique et Libertés (CNIL) a décidé de règlementer leurs utilisations. Grâce à une collaboration entre les autorités de contrôles européennes, l’internaute a dorénavant le droit de consentir ou non au dépôt de cookies sur son ordinateur.
Ce droit est le fruit d’un travail législatif et réglementaire fort en la matière :
L’article 5(3) de la directive 2002/58/CE du 12 juillet 2002 ou directive ePrivacy pose le principe d’un consentement préalable de l’utilisateur avant le stockage d’informations sur son terminal sauf si ces actions sont strictement nécessaires à la fourniture d’un service de communication. Cet article est transposé en droit français par l’article 82 de la loi Informatique et Libertés.
La CNIL rappelle que le consentement prévu par ces dispositions renvoie à la définition et aux conditions prévues aux articles 4(11) et 7 du RGPD. Il doit donc être libre, spécifique, éclairé, univoque et l’utilisateur doit être en mesure de le retirer, à tout moment, avec la même simplicité qu’il l’a accordé.
Afin d’expliciter le droit applicable au dépôt et à la lecture de traceurs dans le terminal de l’utilisateur, la CNIL a adopté le 17 septembre 2020 :
Les lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur ;
Ces lignes directrices sont complétées par une recommandation en date du 1er octobre 2020 visant à proposer des exemples de modalités pratiques de recueil du consentement.
Dès lors, l’utilisation des cookies et autres traceurs comme outil de ciblage publicitaire fait partie intégrante du travail de la CNIL ces deux dernières années. D’ailleurs, elle a décidé que les cookies serait un de ses trois grands thèmes de travail pour sa stratégie de contrôle 2021 : elle poursuit les contrôles réalisés en 2020 sur un périmètre étendu en vérifiant les règles relatives au recueil du consentement.
Deux entreprises ont fait les frais de ces nouvelles réglementations, faisant ainsi figure d’exemples : Carrefour Banque et Amazon, respectivement le 18 novembre 2020 et le 7 décembre 2020.
Carrefour Banque ne respectait pas l’article 82 de la loi Informatique et Libertés puisque sur son site web, plusieurs cookies nécessitaient le consentement de l’utilisateur. En effet, à partir du moment où le cookie n’est pas strictement limité à la seule mesure de l’audience du site ou de l’application, il nécessite le consentement de l’utilisateur.
Or, Carrefour ne le demandait pas : les cookies étaient déposés sur le terminal dès la connexion à la page d’accueil du site et avant toute action de sa part.
La société a été condamnée à une sanction de 850 000 euros
Pour Amazon, la CNIL a constaté que lorsqu’un internaute se rendait sur l’une des pages du site amazon.fr, des cookies à vocation publicitaire (donc non-essentiels) étaient instantanément déposés sur son ordinateur, sans action de sa part.
On le rappelle, étant donné que ceux-ci sont non-essentiels au fonctionnement du site, ils ne peuvent être déposés qu’après que l’internaute ait exprimé son consentement.
En plus, l’autorité de contrôle a considéré que les wordings (les intitulés présents sur le bandeau cookies) utilisés pour informer les internautes de l’utilisation des cookies étaient « des descriptions générales et approximatives des finalités de l’ensemble des cookies déposés ».
La description était la suivante : « En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus »
Donc, l’utilisateur n’était pas à même de comprendre que les cookies déposés affichaient des publicités personnalisées.
Elle a également relevé que le bandeau n’indiquait pas à l’utilisateur qu’il avait le droit de refuser ces cookies et les moyens dont il dispose à cette fin.
A noter qu’un nombre important de personnes ont été concerné par ce manquement : 300 millions d’identifiants Amazon ont été attribués en France de 9 mois.
Côté sanction, l’addition est plus salée puisque Amazon a été condamné à payer une amende de 35 millions d’euros.
Au regard de ces condamnations, la conformité des cookies apparaît évidemment nécessaire. Autant dire qu’une entreprise condamnée à ce type de sanction remettrait sa santé économique en cause. D’où l’importance d’être conseillé et accompagné dans votre processus de mise en conformité.
Pour rappel, si un manquement est constaté, une entreprise peut être condamnée à une amende administrative allant jusqu’à 10 millions d’euros ou 2% du chiffre d’affaire annuel mondial de la société. Pour les manquements les plus graves, ce montant peut s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.
Très récemment, la CNIL a souhaité sensibiliser à nouveau les organismes privés et publics par une campagne d’envoi de courriers et courriels.
Dans le cadre de son plan d’action sur le ciblage publicitaire en ligne, la CNIL a accordé un délai de six mois à compter de la publication des lignes directrices et de la recommandation pour que les organismes puissent se mettre en conformité avec les nouvelles règles. Adoptées le 1er octobre 2020, la période d’adaptation accordée arrivera à son terme le 31 mars 2021.