Dans le cadre de l’accompagnement des entreprises dans leur mise en conformité RGPD, la Commission nationale de l’informatique et des libertés (« CNIL ») peut soumettre des projets de recommandations à consultation publique. Par ce mécanisme, les professionnels du secteur concerné par le projet prennent part aux discussions et émettent des observations pratiques.
En juillet 2024 un projet relatif aux cookies « cross-device » a été formalisé par la CNIL et est désormais mis en consultation publique.
Si depuis des années, les cookies sont très présents sur la quasi-totalité des sites internet puisqu’ils permettent notamment de mesurer leur audience et de suivre les parcours utilisateurs, leur déploiement est strictement encadré.
Cet encadrement, notamment posé par la Directive e-Privacy, transposée dans la loi Informatique et Libertés est couplé aux différentes recommandations déjà proposées par la CNIL [1]. Les articles 5 de la Directive et 82 de la loi Informatique et Libertés posent le principe d’un consentement préalable de l’utilisateur.
Le commissaire européen à la Justice, Didier Reynders avait justement déclaré « Selon la loi, l’utilisation de cookies pour traiter des données personnelles ne peut pas se faire sans le consentement explicite des utilisateurs. Mais cela ne signifie pas que la navigation sur le web doit finalement devenir une affaire pénible ». C’est dans ce contexte que tant au niveau européen qu’au niveau national il est question de la simplification de la collecte du consentement des utilisateurs.
Si l’initiative de « cookie pledge [2] » a été abandonnée, la lutte contre la surchage liée aux cookies reste d’actualité.
Les cookies dits « cross-device » constituent une technologie de suivi utilisée pour collecter et partager des informations sur un utilisateur à travers plusieurs appareils (ordinateur, smartphone, tablette) et permettre aux entreprises et annonceurs de suivre ses comportements sur l’ensemble de son environnement.
Mais une problématique pratique est récurrente : celle de l’identification d’un individu sur différents écrans. Rares sont les acteurs techniquement capables de reconnaitre un individu unique auquel sont appliqués plusieurs cookies via différents appareils (appelé « environnement logué »).
Dans ce cadre, la CNIL recommande de rappeler les choix des utilisateurs à chaque connexion, quel que soit le dispositif utilisé. Elle précise également que les « décisions prises en environnement logué ne doivent pas affecter celles en environnement non logué ». Si l’objectif poursuivi est la simplification, il convient tout de même de « donner aux utilisateurs la possibilité de revoir leurs choix, appareil par appareil ».
Les retours sur la consultation sont attendus d’ici mi-octobre, en vue d’une publication des recommandations avant la fin de l’année.
[2] Le « cookie pledge » correspond à une initiative de la Commission européenne dite « initiative d’engagement sur les cookies » dans le cadre de laquelle les grandes plateformes se seraient volontairement engagées à mieux informer leurs utilisateurs et à les protéger contre les collectes intrusives de consentement. Ce projet a été abandonné par la Commission européenne mais devrait réapparaître dans le cadre du Digital Fairness Act.