Le consentement aux cookies : nouvelles règles et période de transition

 Merav Griguer, Sharone Franco, Alexandre Euverte

07-2019

Jusqu’à présent, les règles applicables à l’utilisation des cookies et des autres technologies ayant un but similaire résultaient des recommandations de la CNIL du 5 décembre 2013. Ces recommandations venaient préciser la directive européenne 2002/58 dite « e-Privacy », telle que modifiée en 2009.

Ainsi, lorsque les cookies (ou technologies similaires) ne sont pas strictement nécessaires à la fourniture d’un service expressément demandé par un utilisateur, ils sont soumis à l’obtention du consentement préalable de ce dernier. Selon les règles de 2013, l’utilisateur devait être informé, par l’apparition d’un bandeau, de la finalité des cookies utilisés, de la possibilité de s’y opposer, et du fait que la poursuite de sa navigation valait consentement au dépôt de cookies sur son appareil. La CNIL validait donc le principe d’un consentement implicite.

Le Règlement européen 2016/679 (« RGPD ») ainsi que les lignes directrices du Comité Européen de Protection des Données (« CEPD ») ont renforcé les conditions de validité du consentement.

Selon la CNIL, la poursuite de la navigation sur un site ne constituera plus un consentement valable au dépôt des cookies. Afin d’accompagner les acteurs dans leur mise en conformité, la CNIL a élaboré un plan d’action pour l’année 2019-2020.

Dans un premier temps, l’autorité va très prochainement mettre à jour ses recommandations en matière de cookies (attendues en juillet 2019). Les acteurs du secteur se verront accorder une période de transition de 12 mois pour se mettre en conformité avec les nouvelles exigences, pendant laquelle la poursuite de la navigation constituera encore un mode d’expression valable du consentement.

Dans un second temps, la CNIL engagera une concertation avec les acteurs du secteur, et publiera fin 2019 ou début 2020 des recommandations proposant des modalités opérationnelles de recueil du consentement. Elle contrôlera le respect de ces recommandations finales, 6 mois après leur adoption définitive.

En parallèle, les discussions au niveau européen reprendront en octobre 2019 concernant le futur Règlement e-Privacy, qui viendra compléter le RGPD en matière de communications électroniques. Force est de constater que la CNIL n’a pas attendu cette prochaine réglementation européenne pour imposer de nouvelles règles.