Si le gendarme des données personnelles laisse un an aux éditeurs pour s’adapter aux futures règles régissant le dépôt de cookies, les nouvelles règles conformes RGPD fraîchement publiées au JORF donnent un aperçu du futur régime applicable et matière à prendre de l’avance.
Les nouvelles règles de la Cnil en matière de cookies ont été publiées le 19 juillet au Journal Officiel. Rappelons qu’il ne s’agit là que des lignes directrices : la recommandation devra d’abord passer par une concertation avec les acteurs concernés, puis une consultation publique, avant qu’enfin elle ne soit publiée au cours du premier trimestre 2020, mais en laissant une « période d’adaptation » aux éditeurs, qui auront au moins jusqu’en juillet 2020 pour s’aligner sur les nouvelles règles.
De manière classique, avant tout dépôt de cookies, l’utilisateur doit avoir « préalablement manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair » écrit la Cnil dans ses lignes directrices. Ce qui implique que l’internaute doit pouvoir donner son consentement « de façon indépendante et spécifique pour chaque finalité distincte ».
Cookie Monster
La Cnil reconnait toutefois « acceptable » le fait de proposer une acceptation globale de conditions générales, à deux conditions : qu’elle s’ajoute à la possibilité de consentir spécifiquement à chaque fonctionnalité et qu’il soit aussi aisé pour l’utilisateur de tout refuser que de tout accepter. En d’autres termes, ces bandeaux vous laissant le choix entre « Tout accepter » ou « Tout accepter », ou encore « Tout accepter » ou « Merci de décocher une à une les 127 cases précochées » devront disparaître.
En outre, le régulateur estime, et c’est la grande différence quant au régime précédent, que le fait de naviguer sur un site, de scroller une page ou encore d’utiliser une application ne constituent pas un consentement valable. Ce qui implique que le bandeau permettant d’accepter ou non le dépôt de cookies devient une obligation : il ne s’agit plus seulement d’informer l’internaute, il faut lui laisser la possibilité de donner son consentement « de manière positive ».
Le tout est assorti de l’habituelle obligation d’informer l’internaute, « en des termes simples et compréhensibles pour tous » pour chaque finalité. « La Commission rappelle que l'information doit être complète, visible, et mise en évidence au moment du recueil du consentement. Un simple renvoi vers les conditions générales d'utilisation ne saurait suffire ».
Des exemptions conditionnelles
Il existe néanmoins certaines exceptions. Ainsi, lorsque le traceur permet ou facilite la communication par voie électronique ou s’avère « strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur », l’éditeur peut s’exonérer de ces obligations de recueil du consentement. Mais pas d’information, puisque « les utilisateurs doivent être informés de leur existence et de leur finalité ». De même, les cookies de mesure d’audience, lorsque regardés comme nécessaires à la fourniture du service et non intrusifs, peuvent s’exempter du recueil du consentement, là encore sous conditions (notamment de limitation des finalités, de durée de conservation et de géolocalisation par IP).
Notons enfin que les mécanismes implémentés directement par le navigateur, tels que le Do Not Track, « ne peuvent, en l'état de la technique, permettre à l'utilisateur d'exprimer la manifestation d'un consentement valide », principalement compte tenu du défaut d’information préalable et de l’impossibilité côté navigateur de trier les cookies en fonction de leur finalité, mettant à mal le principe de consentement spécifique. Néanmoins, la Cnil scrute de près les évolutions de ces systèmes et ne s’interdit pas de revoir sa position à ce sujet.