Open
functional-file
Fiche thématique
functional-clock
25 min de lecture
functional-calendar
8 septembre 2023
L’article 82 de la loi Informatique et libertés, qui a transposé en droit français la directive 2002/58/CE du 12 juillet 2002 « vie privée et communications électroniques » (ou « ePrivacy »), modifiée par la directive 2009/136 du 25 novembre 2009, oblige le responsable de traitement à recueillir le consentement de la personne concernée avant toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement. Autrement dit, pas de lecture ou de dépôt de cookies sans le consentement préalable de l’utilisateur.
functional-summary
Sommaire

Les modalités de recueil du consentement aux cookies

Qu’est-ce qu’un cookie ?

C’est un fichier que le fournisseur d’un site internet dépose sur l’ordinateur de l’utilisateur de ce site et auquel il peut accéder à nouveau lors d’une nouvelle visite du site par l’utilisateur, pour faciliter la navigation sur internet ou des transactions ou pour obtenir des informations sur le comportement de ce dernier.

Le cadre juridique des cookies n’est pas posé par le RGPD mais par la directive 2002/58/CE « vie privée et communications électroniques », dite « ePrivacy », amenée à être remplacée par le futur règlement « ePrivacy ».

Remarque

L’objectif est de tenir compte des nouvelles évolutions technologiques et commerciales, telles que l’utilisation généralisée actuelle de la voix sur IP et des services de messagerie et de courrier électronique en ligne, ainsi que de l’émergence de nouvelles techniques de suivi du comportement en ligne des utilisateurs. Le règlement « e-privacy » précisera et complétera le RGPD. Il devrait s’appliquer « au contenu de communications électroniques transmis au moyen des services et de réseaux accessibles au public, ainsi qu’aux métadonnées liées à la communication ». En matière de cookies, par exemple, le projet prévoit qu’« un utilisateur final pourra donner son consentement à l’utilisation de certains types de cookies en inscrivant sur une liste blanche un ou plusieurs fournisseurs dans ses paramètres de navigation. Les fournisseurs de logiciels seront encouragés à faire en sorte que les utilisateurs puissent facilement établir et modifier des listes blanches sur leurs navigateurs et retirer leur consentement à tout moment ».

Dans sa déclaration du 9 mars 2021, le CEPD a insisté sur la nécessité pour le futur règlement de ne pas abaisser le niveau de protection des données offert par l’actuelle directive « vie privée et communications électroniques ».

Le cadre juridique des cookies

La directive européenne 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 a modifié la directive 2002/58/CE dite « ePrivacy » pour poser le principe d’un consentement préalable de l’utilisateur avant le stockage d’informations sur son équipement ou avant l’accès à des informations déjà stockées, sauf si ces actions sont strictement nécessaires pour la délivrance d’un service de la société de l’information expressément demandé l’utilisateur.

L’article 82 de la loi Informatique et libertés modifiée en 2018, qui transpose la directive 2009/136/CE, reprend ce principe. Ainsi, « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

  • de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
  • des moyens dont il dispose pour s’y opposer » (L. n° 78-17, 10 janv. 1978, art. 82 ).

Remarque

On entend par équipement terminal tout équipement qui est connecté directement ou indirectement à l’interface d’un réseau public de télécommunications pour transmettre, traiter ou recevoir des informations ; dans les deux cas, direct ou indirect, la connexion peut être établie par fil, fibre optique ou voie électromagnétique. Une connexion est indirecte si un appareil est interposé entre l’équipement terminal et l’interface du réseau public. Cette définition comprend de nombreux dispositifs tels que tablette, smartphone, ordinateur fixe ou mobile, console de jeux, télévision connectée, véhicule connecté, assistant vocal, ou tout autre objet connecté à un réseau de télécommunication public ( CNIL, délib., 17 sept. 2020, no 2020-091 ).

Le CEPD a adopté des lignes directrices sur les assistants vocaux virtuels. Il estime que les responsables de traitement qui fournissent des services d’assistants vocaux et leurs sous-traitants doivent prendre en considération aussi bien le RGPD que la directive e-Privacy 2002/58/CE ( Lignes directrices du CEPD 2/2021, 9 mars 2021 ).

Puis, le RGPD est venu préciser les conditions d’obtention du consentement et la nécessité d’en démontrer le recueil (RGPD, art. 4 et 7 ).

Le CEPD a révisé ses lignes directrices sur le consentement ( Lignes directrices du CEPD 5/2020, 4 mai 2020 ).

Le 17 septembre 2020, la CNIL a adopté des lignes directrices modificatives relatives à l’application de l’article 82 de la loi Informatique et libertés aux opérations de lecture et écriture dans le terminal d’un utilisateur ( CNIL, délib., 17 sept. 2020, no 2020-091 ). Elles portent, en particulier, sur l’utilisation des cookies HTTP, par lesquels les actions de lecture ou écriture sont le plus souvent réalisées. D’autres techniques existent : les « local shared objects » appelés parfois les « cookies Flash », le « local storage » mis en œuvre au sein du HTML 5, les identifications par calcul d’empreinte du terminal, les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d’un appareil), etc. Ces lignes directrices sont accompagnées d’une recommandation afin d’accompagner les professionnels concernés ( CNIL, délib., 17 sept. 2020, no 2020-092 ).

Remarque

Ces nouvelles lignes directrices abrogent les lignes directrices du 4 juillet 2019 qui ont été partiellement censurées par le Conseil d’État ( CE, 19 juin 2020, no 434684 ) (voir infra « Pratique des cookies walls »).

Pour la CNIL, le fait que les informations stockées ou consultées soient ou non des données à caractère personnel au sens du RGPD n’est pas une condition applicable. Autrement dit, l’article 82 qui impose le recueil du consentement de l’utilisateur s’applique quand bien même les données concernées seraient à caractère personnel ou non.

Deux associations, la Quadrature du Net et Caliopen, ont remis en cause la stratégie de la CNIL devant le Conseil d’État, en raison selon elles de « l’atteinte grave et immédiate aux intérêts qu’elles ont pour objet de défendre, à savoir la protection des droits fondamentaux dans l’environnement numérique et, notamment, du droit au respect de la vie privée et à la protection des données personnelles, ainsi que de l’atteinte à l’intérêt du public […] ». Leur requête a été rejetée par le juge des référés ( CE, 14 août 2019, no 433070 ) puis par le juge du fond ( CE, 16 oct. 2019, no 433069 ) qui a estimé que « la Commission n’a pas méconnu l’étendue de sa compétence en élaborant un plan d’actions en matière de ciblage publicitaire en ligne et en rendant publique la position qu’elle a prise quant à l’usage de ses pouvoirs, notamment de sanction, afin d’atteindre les objectifs qu’elle a définis ».

Remarque

Le 31 mars 2021 a marqué la fin du délai accordé aux sites et applications mobiles pour se mettre en conformité avec les nouvelles règles en matière de cookies. Depuis, la CNIL a adopté plus de 100 mesures correctrices (mises en demeure et sanctions) en lien avec le non-respect de la législation sur les cookies.

Entre 2020 et 2022, la CNIL a mis en œuvre un « plan d’action » en matière de cookies, avec l’objectif de favoriser la conformité des sites et une meilleure compréhension de leurs enjeux par les internautes. Selon « l’analyse des effets de sa régulation à travers le temps », la CNIL estime que ses interventions ont permis de réduire le traçage publicitaire (la part des sites déposant plus de 6 cookies tiers est passée de 24 % à 12 % entre janvier 2021 et août 2022. Parallèlement, la proportion du nombre de sites ne déposant aucun cookie tiers est passée de 20 % à 29 %) et ont fait augmenter le taux de refus de collecte par les usagers. Elle note également qu’« en juin 2022, 95 % des personnes interrogées déclarent savoir ce que sont les cookies et 52 % d’entre elles connaître précisément les évolutions réglementaires récentes sur le sujet (contre 44 % seulement en novembre 2020) ».

Informer l’utilisateur sur la lecture ou le dépôt de cookies

Présentation des finalités des traceurs

Dans sa recommandation ( CNIL, délib., 17 sept. 2020, no 2020-092 ), la CNIL précise que les finalités des traceurs doivent être présentées aux utilisateurs avant que ceux-ci ne se voient offrir la possibilité de consentir ou de refuser. Elles doivent être formulées :

  • de manière intelligible ;
  • dans un langage adapté et suffisamment clair pour que les utilisateurs comprennent ce à quoi ils consentent.

La CNIL recommande que chaque finalité soit mise en exergue dans un intitulé court et mis en évidence, accompagné d’un bref descriptif. Il est également recommandé de faire figurer une description plus détaillée de ces finalités, de manière aisément accessible depuis l’interface de recueil du consentement.

Remarque

Exemple : cette information peut être affichée sous un bouton de déroulement que l’internaute peut activer directement au premier niveau d’information. Elle peut également être rendue disponible en cliquant sur un lien hypertexte présent au premier niveau d’information.

L’information générale et approximative des finalités poursuivies par les cookies est interdite. Ainsi, dans une délibération n° SAN-2022-027 du 29 décembre 2022 sanctionnant le réseau social TikTok, la formation restreinte a précisé que s’« il est possible de compléter l’information figurant au premier niveau via un lien hypertexte, il n’en demeure pas moins que celle présente dans le bandeau dédié doit être suffisamment claire pour permettre à l’utilisateur de faire un choix éclairé dès cette étape » ( CNIL, délib., 29 déc. 2022, SAN-2022-027 ). De plus, la formation restreinte estime que « si plusieurs cookies peuvent servir la même finalité ou que certains cookies peuvent poursuivre plusieurs finalités, l’utilisateur doit en être informé lorsque l’interface de recueil du consentement propose d’exprimer son choix cookie par cookie ». Or, les finalités ne sont pas développées de façon suffisamment précise ni sur le bandeau d’informations affiché en page d’accueil ni après avoir cliqué sur un lien présent. Aussi, l’information fournie par la société n’était pas suffisante et ne permettait pas aux utilisateurs de pouvoir donner un consentement libre et éclairé.

Informations à fournir aux utilisateurs

L’information doit être rédigée en des termes simples et compréhensibles pour tous, et doit permettre aux utilisateurs d’être parfaitement informés des différentes finalités des traceurs utilisés. Les informations devant être portées à la connaissance des utilisateurs, préalablement au recueil du consentement, en application de l’article 82 de la loi Informatique et libertés, sont a minima :

  • l’identité du ou des responsables de traitements ;
  • la finalité des opérations de lecture ou d’écriture des données ;
  • la manière d’accepter ou de refuser les traceurs ;
  • les conséquences qui s’attachent à un refus ou une acceptation des traceurs ;
  • l’existence du droit de retirer son consentement.

Le géant Amazon a été condamné par la CNIL à 35 millions d’euros d’amende car l’information délivrée sur son site internet s’agissant des opérations d’accès ou d’inscription de cookies était incomplète voire inexistante. Notamment, le bandeau d’information en page d’accueil ne contenait qu’une description « générale et approximative » des finalités de l’ensemble des cookies déposés, et il ne faisait pas état des moyens dont disposait l’internaute pour refuser l’inscription de cookies ( CNIL, délib., 7 déc. 2020, SAN-2020-013 ).

De même, Google LLC et Google Ireland LTd ont été sanctionnées pour un total de 100 millions d’euros par la formation restreinte de la CNIL qui a estimé que « l’information fournie par les sociétés, tant dans le cadre du bandeau que dans celui de la fenêtre surgissante, ne permettait pas aux utilisateurs résidant en France, lors de leur arrivée sur le moteur de recherche Google Search, d’être préalablement et clairement renseignés sur l’existence d’opérations permettant l’accès et l’inscription d’informations contenues dans leur terminal ni, par conséquent, de la finalité de celles-ci et des moyens mis à leur disposition quant à la possibilité de les refuser » ( CNIL, délib., 7 déc. 2020, SAN-2020-012 ).

Remarque

A noter que par délibération du 30 avril 2021, la CNIL a clôturé l’injonction sous astreinte de 100 000 euros par jour de retard prononcée à l’encontre de Google : « les personnes se rendant sur le site google.fr sont désormais informées, de manière claire et complète, de toutes les finalités des cookies soumis au consentement et des moyens mis à leur disposition pour les refuser, par le biais du bandeau d’information s’affichant à leur arrivée sur le site » ( CNIL, délib., 30 avr. 2021, SAN-2021-004 ). De même, par délibération du 8 juillet 2021, elle a clôturé l’injonction prononcée en décembre 2020 à l’encontre de la société Amazon ( CNIL, délib, 8 juill. 2021, no SAN-2021-009 ).

Par une décision du 28 janvier 2022, le Conseil d’État a validé la sanction de 100 millions d’euros prononcée par la CNIL à l’encontre de Google LLC et Google Ireland LTd pour leurs pratiques en matière de dépôt de cookies sur les équipements terminaux de leurs utilisateurs. Il a notamment confirmé la compétence de la CNIL en matière de traitements de données de communications électroniques transfrontaliers, en relevant que le système du guichet unique prévu par le RGPD n’est pas applicable aux traitements de données soumis à la directive ePrivacy. Sur le fond, le Conseil d’État a confirmé les violations à l’article 82 de la loi Informatique et libertés retenues par la CNIL, notamment le défaut d’information des utilisateurs ( CE, 28 janv. 2022, no 449209 ). A l’instar de ce qu’il avait déjà jugé le 28 janvier 2022 s’agissant de Google, le Conseil d’État a confirmé, le 27 juin 2022, la sanction d’Amazon ( CE, 27 juin 2022, no 451423 ).

Identité du ou des responsables de traitement

La liste exhaustive de l’ensemble des responsables de traitement(s), y compris les responsables conjoints de traitement, doit être mise à la disposition des utilisateurs avant qu’ils donnent ou refusent leur consentement. Cependant, la Commission recommande que cette liste soit mise à leur disposition de manière permanente, à un endroit aisément accessible à tout moment sur le site web ou l’application mobile.

Recueillir le consentement de l’utilisateur

Nécessité d’un consentement préalable

Les cookies ne peuvent être déposés sur le terminal d’un utilisateur avant que celui-ci ait donné son consentement. C’est pour cette raison notamment que la formation restreinte de la CNIL a sanctionné Amazon d’une amende de 35 millions d’euros ( CNIL, délib., 7 déc. 2020, SAN-2020-013 ) et Google d’une amende de 100 millions d’euros – 60 millions d’euros à l’encontre de Google LLC et 40 millions d’euros à l’encontre de Google Ireland Ltd ( CNIL, délib., 7 déc. 2020, SAN-2020-012 ).

Remarque

Sur amazon.fr, quel que soit le parcours utilisateur, la formation restreinte de la CNIL a relevé que plus de 40 cookies publicitaires étaient déposés sur le terminal et que le bandeau d’information ne contenait aucune information précise s’agissant des moyens pour exprimer son choix quant à l’inscription de cookies.

Sur la page google.fr, la CNIL a constaté que 7 cookies étaient automatiquement déposés sur le terminal dont 4 publicitaires, avant toute action de la part de l’utilisateur. Google aurait dû recueillir au préalable le consentement des utilisateurs avant de procéder au dépôt de cookies sur leur terminal.

Dans une affaire similaire, la formation restreinte de la CNIL a sanctionné la société Doctissimo pour le dépôt systématique de cookies publicitaires dès l’arrivée des utilisateurs sur son site, ainsi que pour avoir imposé deux autres cookies publicitaires même lorsque le dépôt avait été précédemment refusé ( CNIL, délib., 11 mai 2023, SAN-2023-006 ).

Recueil et retrait du consentement

La CNIL estime qu’une demande de consentement effectuée au moyen de cases à cocher, décochées par défaut, est facilement compréhensible par les utilisateurs.

Le responsable du ou des traitements peut également avoir recours à des interrupteurs (« sliders »), désactivés par défaut, si le choix exprimé par les utilisateurs est aisément identifiable. La Commission recommande d’être attentif à ce que l’information accompagnant chaque élément actionnable permettant d’exprimer un consentement ou un refus soit facilement compréhensible et ne nécessite pas d’efforts de concentration ou d’interprétation de la part de l’utilisateur. Ainsi, il est notamment recommandé de s’assurer qu’elle n’est pas rédigée de telle manière qu’une lecture rapide ou peu attentive pourrait laisser croire que l’option sélectionnée produit l’inverse de ce que les utilisateurs pensaient choisir.

Le consentement de l’utilisateur doit être donné de façon indépendante et spécifique pour chaque finalité distincte, sans que cela fasse obstacle à la possibilité de consentir de manière globale à un ensemble de finalités.

Remarque

Il est possible de proposer des boutons d’acceptation et de refus globaux au stade du premier niveau d’information, via par exemple la présentation de boutons intitulés « tout accepter » et « tout refuser », « j’autorise » et « je n’autorise pas », « j’accepte tout » et « je n’accepte rien » et permettant de consentir ou de refuser, en une seule action, à plusieurs finalités.

Important : le responsable de traitement doit offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité.

Ainsi, la Commission recommande fortement que le mécanisme permettant d’exprimer un refus de consentir aux opérations de lecture et/ou d’écriture soit accessible sur le même écran et avec la même facilité que le mécanisme permettant d’exprimer un consentement ( CNIL, délib., 17 sept. 2020, no 2020-092 ).

Enfin, il doit être possible de retirer son consentement à tout moment, et aussi simplement qu’il a été donné. Cela peut être fait au moyen d’un lien accessible à tout moment, en utilisant, comme le recommande la CNIL, une dénomination descriptive et intuitive telle que « module de gestion des cookies », ou « gérer mes cookies » ou « cookies », etc. Dans tous les cas, cette faculté doit être facilement visible par l’internaute, dans une zone qui attire son attention et avec des visuels explicites.

Le 31 décembre 2021, la CNIL a infligé des amendes de respectivement 150 millions et 60 millions d’euros à Google et Facebook Ireland Limited pour non-respect de la législation relative aux cookies. A l’issue de contrôles en ligne, elle a constaté que les sites web facebook.com, google.fr et youtube.com ne permettent pas à l’internaute de refuser le dépôt de cookies aussi facilement que de les accepter : alors qu’un seul clic suffit pour accepter les cookies, plusieurs actions sont nécessaires pour paramétrer un refus. Pour la CNIL, un tel procédé « biaise le choix en faveur du consentement » et constitue dès lors une violation de l’article 82 de la loi Informatique et libertés. En complément des amendes, la CNIL a également adopté des injonctions sous astreinte afin que les sociétés se mettent en conformité dans un délai de 3 mois, sous peine de devoir payer chacune une astreinte de 100 000 euros par jour de retard ( CNIL, délib., 31 déc. 2021, no SAN-2021-023  ; CNIL, délib., 31 déc. 2021, no SAN-2021-024 ). Fin avril 2022, Google a annoncé avoir mis en place sur Google Search et YouTube un bouton permettant à l’internaute de rejeter facilement l’ensemble des cookies mis en place sur ces applications. Par décision du 11 juillet 2022, la formation restreinte de la CNIL a clôturé l’injonction prononcée le 31 décembre 2021 à l’encontre de la société Facebook Ireland Limited, devenue Meta Platforms Ireland Limited.

Autre exemple : dans une délibération n° SAN-2022-027 du 29 décembre 2022, la formation restreinte de la CNIL a prononcé une amende administrative d’un montant de 5 millions d’euros à l’encontre des sociétés TikTok Information technologies UK Limited et TikTok Technology Limited, responsables conjoints des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du réseau social TikTok. La formation restreinte a notamment constaté que le mécanisme de refus des cookies – impliquant trois actions via le bouton « gérer les paramètres » – est plus complexe que celui consistant à les accepter – nécessitant un seul clic sur le bouton « tout accepter ». S’appuyant sur différentes études relatives aux pratiques des utilisateurs, elle estime que le fait de rendre le mécanisme de refus des cookies plus complexe « revient en réalité à décourager les utilisateurs de refuser les cookies » et biaise l’expression du choix des utilisateurs en faveur du consentement, altérant ainsi leur liberté de choix. Aussi, la formation restreinte en déduit-elle que le consentement recueilli n’est pas valide « dans la mesure où l’utilisateur n’avait pas la possibilité de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité qu’il avait de les accepter » ( CNIL, délib., 29 déc. 2022, SAN-2022-027 ).

Preuve du consentement

Le responsable de traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement des données la concernant (RGPD, art. 7 ). Pour cela, précise la CNIL, le consentement doit avoir été « valablement recueilli » ( CNIL, délib., 17 sept. 2020, no 2020-092 ).

La Commission recommande les modalités suivantes, non exclusives :

  • les différentes versions du code informatique utilisé par l’organisme recueillant le consentement peuvent être mises sous séquestre auprès d’un tiers, ou, plus simplement, un condensat (ou « hash ») de ce code peut être publié de façon horodatée sur une plate-forme publique, pour pouvoir prouver son authenticité a posteriori ;
  • une capture d’écran du rendu visuel affiché sur un terminal mobile ou fixe peut être conservée, de façon horodatée, pour chaque version du site ou de l’application ;
  • des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre par des tiers mandatés à cette fin ;
  • les informations relatives aux outils mis en œuvre et à leurs configurations successives (solutions de recueil du consentement, également connues sous l’appellation CMP, pour Consent Management Plateform) peuvent être conservées, de façon horodatée, par les tiers éditant ces solutions.

Pratique des « cookie walls »

Non conforme au RGPD, selon le CEPD

Le consentement ne peut être valable que si la personne concernée est en mesure d’exercer valablement son choix et ne subit pas d’inconvénients majeurs en cas d’absence ou de retrait du consentement. Le CEPD précise, dans sa déclaration sur la révision de la directive « ePrivacy » et son incidence sur la protection de la vie privée et la confidentialité des communications électroniques, que la pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (« cookie walls ») n’est pas conforme au RGPD. Le CEPD considère en effet que, dans une telle hypothèse, les utilisateurs ne sont pas en mesure de refuser le recours à des traceurs sans subir des conséquences négatives (en l’occurrence l’impossibilité d’accéder au site consulté).

Par ailleurs, dans ses lignes directrices révisées sur le consentement ( Lignes directrices du CEPD 5/2020, 4 mai 2020 ), le CEPD énonce clairement qu’un prestataire de services ne peut empêcher les personnes concernées d’accéder à un service au motif qu’elles n’y consentent pas. Pour que le consentement soit donné librement, l’accès aux services et aux fonctionnalités ne doit pas être sous réserve du consentement de l’utilisateur à la conservation des informations ou à l’accès aux informations déjà stockées dans l’équipement terminal de l’utilisateur.

Il prend l’exemple d’un fournisseur de site web qui bloque la visibilité du contenu, sauf si l’utilisateur clique sur le bouton « Accepter les cookies ». La personne concernée ne dispose pas d’un véritable choix, son consentement n’est pas donné librement.

La personne concernée doit être en mesure de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte. A ce titre, l’acceptation globale de conditions générales d’utilisation (CGU) ne peut être une modalité valable de recueil du consentement, dans la mesure où celui-ci ne pourra être donné de manière distincte pour chaque finalité.

Susceptible de porter atteinte à la liberté du consentement, selon la CNIL

Dans la lignée des lignes directrices du CEPD, la CNIL avait cité le Comité dans sa délibération du 4 juillet 2019 : « le consentement ne peut être valable que si la personne concernée est en mesure d’exercer valablement son choix et ne subit pas d’inconvénients majeurs en cas d’absence ou de retrait du consentement. A ce titre, le CEPD, dans sa « déclaration sur la révision de la directive ePrivacy et son incidence sur la protection de la vie privée «, a considéré que la pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (« cookie walls «) n’est pas conforme au RGPD ».

Une disposition qui a attiré les foudres du Conseil d’État dans une décision du 19 juin 2020, dans laquelle il a censuré une partie des lignes directrices de la CNIL ( CE, 19 juin 2020, no 434684 ) : « en déduisant pareille interdiction générale et absolue de la seule exigence d’un consentement libre, posé par le RGPD, la CNIL a excédé ce qu’elle peut légalement faire, dans le cadre d’un instrument de droit souple ».

La CNIL a donc ajusté ses lignes directrices en conséquence ( CNIL, délib., 17 sept. 2020, no 2020-091 ). Elle indique désormais que « le fait de subordonner la fourniture d’un service ou l’accès à un site web à l’acceptation d’opérations d’écriture ou de lecture sur le terminal de l’utilisateur (pratique dite de « cookie wall «) est susceptible de porter atteinte, dans certains cas, à la liberté du consentement ». Elle ajoute qu’« en cas de mise en place de cookie wall, et sous réserve de la licéité de cette pratique qui doit être appréciée au cas par cas, l’information fournie à l’utilisateur devrait clairement indiquer les conséquences de ses choix et notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement ».

Dans une note publiée le 16 mai 2022 sur son site internet, la CNIL donne ses critères permettant d’apprécier la légalité de la pratique des « cookie walls ». Elle recommande, tout d’abord, de proposer à l’internaute « une alternative réelle et équitable ». En cas de cookies walls sur un site, et si l’internaute refuse l’utilisation de traceurs à son égard, alors l’éditeur « devra être en mesure de démontrer, notamment à la CNIL, qu’un autre éditeur propose une telle alternative sans conditionner l’accès à son service au consentement de l’utilisateur au dépôt de traceurs, c’est-à-dire sans cookie wall ». Autre possibilité, souligne la CNIL, celle d’utiliser un paywall en cas de refus des cookies. « Le fait, pour un éditeur, de conditionner l’accès à son contenu, soit à l’acceptation de traceurs contribuant à rémunérer son service, soit au paiement d’une somme d’argent, n’est pas interdit par principe puisque cela constitue une alternative au consentement aux traceurs. Cette contrepartie monétaire ne doit toutefois pas être de nature à priver les internautes d’un véritable choix : on peut ainsi parler de tarif raisonnable », précise la Commission. Elle recommande de mener une analyse au cas par cas, de la rendre publique à l’égard des internautes, de manière à « justifier du caractère raisonnable de la contrepartie monétaire proposée ».

Quant à la possibilité d’imposer à l’internaute la création d’un compte utilisateur, « les éditeurs devront s’assurer qu’une telle obligation est justifiée par rapport à la finalité (objectif) visée : ce sera le cas, par exemple, lorsqu’il s’agit de permettre à un utilisateur qui a choisi de souscrire à un abonnement (mensuel ou annuel), de bénéficier de cet abonnement sur d’autres terminaux ». Autre point, la CNIL invite les éditeurs à limiter leurs cookies walls « aux finalités qui permettent une juste rémunération du service proposé. Par exemple, si un éditeur considère que la rémunération de son service dépend des revenus qu’il pourrait obtenir de la publicité ciblée, seul le consentement à cette finalité devrait être nécessaire pour accéder au service : le refus de consentir à d’autres finalités (personnalisation du contenu éditorial, etc.) ne devrait alors pas empêcher l’accès au contenu du site ». Et ces finalités doivent être communiquées à l’internaute. Et si, dans le cas où l’internaute refuse le dépôt de traceurs en optant pour un paywall, il était tout de même possible de déposer des cookies ? A cette question, la CNIL répond que seuls des traceurs nécessaires au fonctionnement du site web pourront être utilisés.

Remarque

La CJUE s’est également prononcée sur la pratique consistant à laisser à l’utilisateur le choix entre accepter le traitement de ses données personnelles ou payer un forfait ou un abonnement. Validant cette pratique, la Cour a insisté sur le fait que « les utilisateurs doivent disposer de la liberté de refuser individuellement, dans le cadre du processus contractuel, de donner leur consentement à des opérations particulières de traitement de données non nécessaires à l’exécution du contrat sans qu’ils soient pour autant tenus de renoncer intégralement à l’utilisation du service offert par l’opérateur du réseau social en ligne, ce qui implique que lesdits utilisateurs se voient proposer, le cas échéant contre une rémunération appropriée, une alternative équivalente non accompagnée de telles opérations de traitement de données » ( CJUE, grande ch., 4 juill. 2023, aff. C-252/21, Meta Platforms et a. ).

Continuer à naviguer sur un site internet n’est pas une manifestation du consentement

Le consentement doit se manifester par le biais d’une action positive de la personne : le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile (« scrolling ») ne constituent pas des actions positives claires assimilables à un consentement valable ( Lignes directrices du CEPD 5/2020, 4 mai 2020 ). De plus, dans le cas où il est impossible de déterminer qu’un consentement univoque a été obtenu, il n’est pas non plus possible de prévoir un moyen pour l’utilisateur de retirer son consentement aussi facilement qu’il l’a donné.

La position de la CJUE : nécessité d’un comportement actif de l’internaute

Dans le cadre d’un litige opposant la fédération allemande des organisations de consommateurs à une société organisant des jeux promotionnels en ligne, la Cour fédérale de justice allemande a posé une question préjudicielle à la Cour de justice de l’UE à propos de la validité d’un consentement donné par le biais d’une case cochée par défaut que l’utilisateur doit décocher pour refuser de le donner. En l’espèce, au bas du formulaire d’inscription, la société avait inséré une mention avec une case cochée par défaut qui prévoyait l’installation de cookies afin d’adresser de la publicité ciblée. La Cour considère que le consentement donné par le biais d’une case cochée par défaut n’implique pas un comportement actif de l’utilisateur car il est impossible de déterminer si la case est restée cochée par manque d’attention de la personne concernée ou par réelle volonté de donner son consentement au dépôt de cookies. Ainsi, la case pré-cochée que l’utilisateur doit décocher pour refuser de donner son accord ne constitue pas un consentement valable ( CJUE, 1er oct. 2019, aff. C-673/17, Planet49).

L’article 7 du RGPD impose que le consentement soit démontrable, ce qui signifie que les organisations exploitant des traceurs doivent mettre en œuvre des mécanismes leur permettant de démontrer, à tout moment, qu’elles ont valablement recueilli le consentement des utilisateurs.

Pluralité de responsables de traitement

Si plusieurs entités réalisent des opérations de lecture ou écriture (par exemple un éditeur de site web et une régie publicitaire déposant des cookies lors de la consultation du site web), elles peuvent être considérées comme responsables de traitement « uniques », responsables conjoints ou comme sous-traitants. Il arrive aussi que les tiers ayant recours à des traceurs soient pleinement et indépendamment responsables des traceurs qu’ils mettent en œuvre, ce qui signifie qu’ils devront assumer indépendamment l’obligation de recueillir le consentement des utilisateurs.

Dans le cas d’une responsabilité conjointe, dans laquelle les responsables de traitements déterminent conjointement les finalités et les moyens du traitement, la CNIL rappelle qu’aux termes de l’article 26 du RGPD ils devront définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du RGPD, en particulier en ce qui concerne le recueil et la démonstration, le cas échéant, d’un consentement valable.

Remarque

La formation restreinte de la CNIL a estimé que Google LLC et Google Ireland Ltd, son siège à Dublin pour ses activités dans l’EEE, étaient conjointement responsables du traitement dans la mesure où toutes deux déterminent les finalités et les moyens liés à l’usage des cookies ( CNIL, délib., 7 déc. 2020, SAN-2020-012 ).

Est qualifié de sous-traitant un acteur qui inscrit des informations et/ou accède à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, exclusivement pour le compte d’un responsable de traitement et sans réutilisation pour son propre compte des données collectées via le traceur. La CNIL rappelle que si une relation de sous-traitance est établie, le responsable de traitement et le sous-traitant doivent établir un contrat ou un autre acte juridique précisant les obligations de chacune des parties, en application de l’article 28 du RGPD.

Les traceurs exemptés de recueil du consentement

Les exceptions

La Commission rappelle que l’exigence de consentement ne s’applique pas aux opérations qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse des utilisateurs ( CNIL, délib., 17 sept. 2020, no 2020-091 ).

Utilisation d’un même traceur pour plusieurs finalités

La CNIL précise que l’utilisation d’un même traceur pour plusieurs finalités nécessite de recueillir préalablement le consentement des personnes concernées. Par exemple, dans le cas d’un service offert via une plateforme nécessitant l’authentification des usagers (« univers logué »), l’éditeur du service pourra utiliser un cookie pour authentifier les utilisateurs sans demander leur consentement (car ce cookie est strictement nécessaire à la fourniture du service de communication en ligne). En revanche, il ne pourra utiliser ce même cookie pour des finalités publicitaires que si les utilisateurs ont effectivement consenti préalablement à cette finalité spécifique ( CNIL, délib., 17 sept. 2020, no 2020-091 ).

Traceurs exemptés de recueil du consentement

La CNIL estime que les traceurs suivant peuvent être regardés comme exemptés de recueil du consentement :

  • les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
  • les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
  • les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur le ou les produits et/ou services achetés ;
  • les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
  • les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
  • les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
  • certains traceurs de mesure d’audience.

Traceurs de mesure d’audience

La CNIL considère que les traceurs de mesure de l’audience du site ou de l’application, utilisés pour répondre à différents besoins (mesure de performance, détection de problèmes de navigation, optimisation des performances techniques ou de l’ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consultés, etc.) sont strictement nécessaires au fonctionnement et aux opérations d’administration courante d’un site web ou d’une application et ne sont donc pas soumis à l’obligation légale de recueil préalable du consentement de l’internaute ( CNIL, délib., 17 sept. 2020, no 2020-091 ).

Remarque

Ces traceurs doivent :

  • avoir une finalité strictement limitée à la seule mesure de l’audience sur le site ou l’application pour le compte exclusif de l’éditeur ;
  • uniquement servir à produire des données statistiques anonymes.

La CNIL a lancé un programme d’évaluation afin d’identifier si les éléments de configuration disponibles peuvent permettre aux fournisseurs concernés de proposer à leurs clients une offre de mesure d’audience exemptée de recueil du consentement. Pour participer à cette démarche, il était demandé de proposer une solution de mesure d’audience pour les sites web hébergés en France ou dont les utilisateurs en sont résidents. A la suite de son évaluation, la CNIL a publié une série d’outils de mesure d’audience identifiés comme pouvant être configurés pour rentrer dans le périmètre de l’exemption au recueil de consentement.

Remarque

Cette liste n’examine cependant pas, à l’heure actuelle, les enjeux posés par les transferts internationaux, notamment les conséquences de l’arrêt « Schrems II ».

Le 10 février 2022, la CNIL a mis en demeure plusieurs organismes utilisant l’outil de mesure d’audience des sites web Google Analytics en raison des transferts illégaux de données vers les États-Unis. La CNIL considère que la simple modification du paramétrage de l’outil est insuffisante pour utiliser Google Analytics en conformité avec le RGPD. Pour elle, « une solution possible est celle de l’utilisation d’un serveur mandataire (ou « proxy ») pour éviter tout contact direct entre le terminal de l’internaute et les serveurs de l’outil de mesure (donc en l’espèce de Google). Il faut cependant s’assurer que ce serveur remplit un ensemble de critères pour pouvoir considérer que cette mesure supplémentaire s’inscrit dans la ligne de ce qui est prévu par le CEPD dans ses recommandations du 18 juin 2021. En effet, un tel dispositif correspondrait au cas d’usage de la pseudonymisation avant export de données ».

  • functional-print
  • functional-linkedin
Aller plus loin
Revue de jurisprudence de droit des affaires
Un résumé des décisions essentielles du mois, des chroniques assurées par des spécialistes du droit des affaires...
738,18 € TTC au lieu de 922,98 € TTC
Questions fréquemment posées

A quoi servent les cookies ?

Les cookies ont plusieurs fonctions : ils peuvent notamment servir à mémoriser l’identifiant du client d’un site, le contenu de son panier d’achat, les paramètres d’affichages (la langue, par exemple). Ils peuvent également être utilisés pour mémoriser les différentes saisies effectuées sur un site, afin de permettre à l’éditeur du site de cibler la publicité proposée à l’internaute ou de déterminer quelle est l’audience de son site.

Qu’est-ce qu’un « cookie-wall » ?

Un « cookie wall » ou « mur de traceur », renvoie au fait de conditionner l’accès d’un utilisateur à un site ou un service au dépôt de certaines données (comme des cookies). Les « cookie walls » ne sont légaux que si le site concerné propose une alternative satisfaisante en cas de refus du traceur par l’internaute (par exemple certains sites proposent à l’internaute de s’abonner s’il veut poursuivre sa navigation sans consentir au dépôt de traceurs). Par exception, certains « cookie walls » sont exemptés du recueil préalable de consentement ; c’est le cas des traceurs dont la finalité est strictement limitée à la seule mesure de l'audience pour la production de statistiques anonymes.