La CNIL présente son projet de recommandation sur les cookies et lance une consultation publique

L’économie des cookies est-elle en train de vaciller ? Le 15 janvier 2020, l’action du groupe Critéo s’est effondrée de 16% suite à l’annonce de Google expliquant que le navigateur Chrome serait expurgé des cookies tiers (essentiellement publicitaires) dans un délai de deux ans.

Le même jour, la CNIL a publié son nouveau projet de recommandation relative aux cookies et traceurs, qui va dans le sens d’un durcissement des conditions de validité de ces derniers.

L’autorité de contrôle avait déjà adopté des lignes directrices en juillet 2019 visant à synthétiser le droit applicable, en vertu du RGPD.
Pour rappel, ces lignes directrices ont confirmé deux principes clé résultant de l’application du RGPD. D’une part, la poursuite de la navigation sur un site internet ne saurait être considérée comme un consentement valide au dépôt de cookies. D’autre part, il convient pour les acteurs du secteur d’être en mesure de prouver l’expression d’un consentement valide des internautes.

A la suite d’une vaste concertation avec les acteurs du secteur de la publicité et du marketing digital pendant l’automne 2019, la CNIL a présenté un projet de recommandation, qui est soumis à une consultation publique jusqu’au 25 février 2020. Il est notamment possible d’apporter des contributions en ligne et de voter pour les différentes contributions.

Ces recommandations sont applicables à tous les acteurs présents dans cet écosystème complexe, y compris aux GAFAM. Le projet de recommandation précise que la réglementation est applicable à tout type de tracking en ligne, y compris dans les environnements dits « logués » (c’est-à-dire où l’utilisateur doit s’authentifier).

Des recommandations et bonnes pratiques concrètes

Sans attendre l’adoption du futur règlement ePrivacy, la CNIL propose ainsi 9 articles comportant des bonnes pratiques, exemples concrets et modalités pratiques de mise en œuvre de la réglementation.

Il s’agit, tout d’abord, d’expliciter les conditions de validité du consentement, à savoir les exigences d’un consentement « éclairé », « libre », « spécifique » et « univoque ». Ainsi, toutes les finalités des cookies devraient figurer au premier niveau d’information, accompagné d’une explication plus détaillée dans un second niveau. Avant de consentir, l’utilisateur doit également pouvoir prendre connaissance de l’identité de tous les responsables de traitement impliqués. Ensuite, il devrait être aussi simple pour l’utilisateur de consentir que de ne pas consentir aux cookies. Ce dernier choix devra être sans conséquence pour lui et enregistré pour la même durée que s’il avait consenti.

La CNIL recommande également aux acteurs de ne pas mettre plus en avant le choix d’accepter les cookies que celui de les refuser, et d’éviter toute « pratique de design potentiellement trompeuse ».

La Commission maintient cependant la possibilité de consentir globalement à l’ensemble des finalités de cookies, pour autant qu’il soit possible également de refuser globalement tous les cookies et de consentir « finalité par finalité ».

Concernant la durée de validité des cookies, la CNIL considère qu’une durée de 6 mois constitue une bonne pratique (au lieu de 13 actuellement).

Puisque le responsable de traitement doit rapporter la preuve du consentement, la CNIL recommande que celle-ci puisse notamment être obtenue par une mise sous séquestre auprès d’un tiers de code informatique, par capture d’écran du rendu visuel, ou via des audits réguliers.

La version définitive du texte est prévue pour mars 2020 à la suite de la consultation publique.

Un sujet à aborder sans délai et des mesures à anticiper

Ces recommandations sont annoncées comme « non prescriptives », ni « exhaustives », et sont présentées comme des conseils pratiques pour accompagner les entreprises dans leur mise en conformité. Néanmoins, elles n’en constituent pas moins une interprétation officielle du RGPD par la CNIL, le gendarme de la protection des données. Les contrôles, qui débuteront à l’automne 2020, pourront ainsi sanctionner tout défaut de conformité.

La présidente de la CNIL, Marie-Laure Denis, a affirmé qu’à ce sujet, « Il est temps d’appliquer les textes. Le RGPD est connu depuis 2016, et est applicable depuis mai 2018 ». Tout en reconnaissant l’impact économique de ces recommandations sur le marché de la publicité ciblée (qui pèse 2 milliards d’euros en France), la présidente de la CNIL estime que la publicité non intrusive pourrait, à l’inverse, prendre de la valeur.