Village de la Justice www.village-justice.com

Comment conformer l’usage des cookies d’un site web face aux nouvelles recommandations de la CNIL ? Par Florent Gastaud, Juriste.
Parution : jeudi 17 avril 2014
Adresse de l'article original :
https://www.village-justice.com/articles/Comment-conformer-usage-des,16737.html
Reproduction interdite sans autorisation de l'auteur.

L’article 32-II de la loi n° 78-17 du 6 janvier 1978 modifiée dite "Informatique et Libertés" vient encadrer le régime des cookies. Une délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et autres traceurs vient préciser les conditions de mise en œuvre pratique de cet article.

Avec cette nouvelle recommandation, il est désormais possible de savoir précisément quels mécanismes techniques et juridiques mettre en œuvre afin de conformer à la loi « Informatique et Libertés » l’usage de cookies et autres traceurs sur un site internet.

Les « cookies » sont définis comme étant des suites d’informations envoyées par un serveur et qui vont être stockées sur le disque dur d’un internaute. Un cookie permet donc de déposer, modifier ou consulter des informations détenues sur un internaute et stockées sur son disque dur. Ces informations peuvent être très variées et contenir à titre d’exemple un identifiant, le nom du serveur ayant déposé le cookie, l’historique de navigation d’un internaute, ses préférences, son adresse IP, etc.

Sans qu’il soit besoin d’entrer dans des considérations techniques trop avancées, il est bon d’entendre la notion de « cookies » dans son sens large, puisque la Commission Nationale de l’Informatique et des Libertés (CNIL) utilise également le terme de « traceurs », sans grande distinction. Il est également important de signaler que la recommandation vient encadrer l’usage des cookies qu’ils portent ou non sur des données à caractère personnel.

L’ensemble des informations collectées par ces traceurs peuvent révéler de nombreux aspects personnels d’un individu et être utilisés à différents niveaux. Des cookies peuvent ainsi simplement faciliter la navigation d’un individu sur un site internet jusqu’à aboutir à un véritable tracking de ses moindres clics. C’est à la vue de la dangerosité potentielle pouvant résulter de l’utilisation des cookies que la CNIL a décidé de s’y intéresser tout particulièrement.

Le double régime des cookies

Les cookies se distinguent en deux grande catégories : ceux dont le consentement n’est pas requis et ceux pour lequel il l’est. Ce second régime fera l’objet de plus amples détails quant à sa mis en œuvre pratique.

A) Cookies ne nécessitants pas le recueil du consentement

Les cookies dont le consentement préalable à leur utilisation n’est pas nécessaire sont très strictement limités à deux finalités :

Ce type de traceurs dont le consentement n’est pas requis sont notamment et à titre d’illustration les cookies de “panier d’achat” pour un site marchand, les cookies “identifiants de session” pour la durée d’une session, les cookies d’authentification, les cookies de session créés par un lecteur multimédia ou encore les cookies persistants de personnalisation de l’interface utilisateur.

Tous cookies ne respectant pas strictement ces finalités seront soumis à consentement préalable de l’internaute.

En matière de cookies de mesure d’audience, la Commission détaille plus précisément quelles sont les conditions que doit respecter la solution afin d’échapper au recueil du consentement. Il convient dans ce cas de se référer pour plus de précisions à la recommandation et à ses 5 conditions établies. Il est tout de même intéressant de savoir qu’aujourd’hui seul l’outil « Piwik » échappe à l’obligation de recueil du consentement. Toute autre solution (et dont les plus classiques type « Google analytics », « Xiti », etc.) devront respecter les conditions détaillés ci-dessous.

B) Cookies dont le consentement préalable est requis

1) Champ d’application

Ce second régime vient couvrir l’ensemble des traceurs n’étant pas exemptés du recueil de consentement.

A titre d’illustration et de manière non exhaustive, le consentement sera ainsi requis pour les cookies liés aux opérations relatives à la publicité ciblée, pour les cookies de réseaux sociaux (et notamment leurs boutons de partage), pour certains cookies de mesure d’audience ne répondant pas aux cas d’exceptions suscités, etc.

2) Le recueil du consentement

Le consentement doit être obtenu préalablement à l’utilisation des cookies et aucun cookie ne peut donc être lu, utilisé ou déposé avant l’obtention d’un tel consentement. Ce consentement doit se manifester par le biais d’une action positive de la personne préalablement informée des conséquences de son choix. Cette information doit être visible, mise en évidence et complète.

En pratique, la recommandation vient assouplir le régime de « l’opt-in » et dérive sur de « l’opt-out ». Lors de l’arrivée d’un internaute sur un site internet, les cookies dont le consentement est requis doivent dans un premier temps être bloqués.
Grâce à une banderole, un pop-up ou toute solution de ce type, le responsable du site devra informer l’internaute lors de son arrivée sur le site (et peu importe le canal d’arrivé), de l’usage de cookies et de la possibilité de les accepter ou de les refuser.

Toute la subtilité vient ensuite dans la notion de « consentement » : celui-ci est présumé si l’internaute poursuit sa navigation sur le site internet sans même avoir cliqué sur le bouton d’acceptation des cookies. Certes, l’information aura dû lui être délivré, du type :

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies [...]

Mais l’internaute y aura-t-il vraiment prêté attention ?
C’est en tous les cas de cette façon qu’en matière de cookies le consentement est recueilli valablement face aux nouvelles recommandations de la CNIL. Une solution pragmatique qui devrait rassurer bon nombre de gérants de sites sur les impacts liés à leur mise en conformité.

3) La durée de vie des cookies

Le délai de validité du consentement est de 13 mois maximum à compter du premier dépôt dans l’équipement terminal de l’utilisateur d’un cookie. Au terme de ce délai, un nouveau consentement explicite devra être recueilli.

Data Protection Officer - OVH Group @florentgastaud www.florentgastaud.fr