Pour rappel, la CNIL a adopté, le 4 juillet 2019, des lignes directrices relatives à l’application de l’article 82 de la loi Informatique et Libertés modifiée, visant à présenter le régime juridique applicable aux opérations de lecture ou écriture (cookies et traceurs) dans le terminal d’un utilisateur ou d’un abonné d’un service de communications électroniques (site internet, application mobile).
Afin d’accompagner les acteurs mettant en place des traceurs et cookies, la Commission a souhaité compléter ces lignes directrices en publiant, le 14 janvier 2020, un projet de recommandation visant à décrire les modalités pratiques de recueil d’un consentement conforme aux règles applicables, à proposer des exemples concrets d’interface utilisateur, et à présenter des bonnes pratiques permettant d’aller au-delà des exigences légales.
Ce projet a été soumis à la consultation publique ouverte aux représentants de l’interprofession concernée par la publicité numérique ainsi qu’aux représentants de la société civile jusqu’au 25 février 2020.
Dans l’attente de la finalisation de la recommandation, il est important de retenir les points suivants.
La recommandation concerne tant les environnements dans lesquels l’utilisateur est authentifié (parfois appelés « univers logués ») que les univers « non logués ». En effet, le fait que l’utilisateur soit authentifié ne dispense pas de recueillir son consentement conformément à l’article 82 de la loi « Informatique et Libertés », dès lors que des traceurs soumis au consentement sont utilisés.
D’autre part, les traceurs ne sortent du champ d’application de l’exigence de consentement que s’ils sont utilisés exclusivement pour l’une des finalités pour lesquelles ils en sont exemptés. Un traceur perd en effet le bénéfice de l’exemption dès lors qu’il est également utilisé pour une autre finalité soumise au consentement.
Par exemple, dans le cas d’un service offert via un univers logué, l’éditeur du service pourra utiliser un cookie pour authentifier l’utilisateur sans lui demander son consentement (car ce cookie est nécessaire à la fourniture du service de communication électronique en ligne). Cependant, il ne pourra utiliser ce même cookie pour des finalités publicitaires que si l’utilisateur a effectivement consenti préalablement à cette finalité spécifique dans les conditions rappelées dans les lignes directrices relatives aux cookies et autres traceurs et reprises ci-après.
Les utilisateurs doivent être informés des finalités, de l’identité du ou des responsables de traitement et de la portée du consentement. Afin d’en faciliter la lecture, la Commission recommande que chaque finalité soit mise en exergue dans un intitulé court et mis en évidence, lequel serait accompagné d’un bref descriptif.
Par exemple, si le ou les traceurs ne sont utilisés que pour afficher la publicité et mesurer son audience, sans la sélectionner sur la base de données personnelles, le responsable du traitement peut utiliser la formulation suivante : « Affichage de publicité : [nom du site / de l’application] [et des sociétés tierces / nos partenaires] utilise / utilisent des traceurs dans le but d’afficher de la publicité [sur le site ou l’application], sans vous profiler ».
Afin de permettre à l’internaute de comprendre plus précisément ce à quoi il consent, la Commission recommande de faire figurer, en complément de la liste des finalités présentées sur le premier écran, une description plus détaillée de ces finalités de manière aisément accessible depuis l’interface de recueil du consentement.
En pratique, cette information peut être affichée sous un bouton de déroulement que l’internaute peut activer directement au premier niveau d’information. Elle peut également être rendue disponible en cliquant sur un lien hypertexte présent au premier niveau d’information.
En outre, la liste exhaustive des responsables du ou des traitements devrait être mise à la disposition de l’utilisateur au moment du recueil de son consentement et, de manière permanente, à un endroit aisément accessible. Par exemple, l’éditeur d’un site web peut fournir à l’utilisateur un module de paramétrage accessible sur toutes les pages du site au moyen d’un icône statique « cookie » ou d’un lien hypertexte situé en bas de page.
Le consentement doit être libre. Cela signifie que l’utilisateur doit avoir la possibilité d’accepter ET de refuser l’utilisation des cookies et traceurs de sorte que son choix doit être enregistré pour ses visites ultérieures.
L’utilisateur doit pouvoir donner son consentement de façon indépendante et spécifique pour chaque finalité distincte, ou de manière globale en lui ayant présenté en amont les finalités.
En tout état de cause, l’utilisateur doit être informé, avant même de donner son consentement, des solutions mises à sa disposition pour le retirer à tout moment, notamment via un lien accessible depuis le service concerné ou via un module de paramétrage accessible sur toutes les pages du site.
De manière générale, la Commission estime que le choix de l’utilisateur devrait être renouvelé au bout d’une durée de six mois et elle donne des recommandations sur l’obtention et la conservation de la preuve du respect des règles précitées.