Cookies et autres traceurs : la nouvelle recette à suivre par la CNIL

14 mai 2021

Les sites ainsi que les applications mobiles devaient au 31 mars 2021 se mettre en conformité avec le Règlement Général de la Protection des Données (RGPD) en matière de cookies et des autres traceurs. En effet, dorénavant il doit être aussi facile de refuser les cookies que de les accepter. De plus les internautes doivent être clairement informés des finalités des traceurs. La Commission National Informatique et Liberté (CNIL), en plus de présenter les actions à venir, est venue rappeler les points essentiels de la réglementation. 

I. Une nouvelle élaboration nécessaire pour les internautes pour plus de clarté 

Au 31 mars 2021 les sites et applications mobiles devaient se mettre en conformité en matière de traceurs.  Cette évolution des règles, qui survient après une consultation publique, a été amorcée par l’adoption des lignes directrices et la recommandation de la CNIL. Dorénavant les internautes pourront, au quotidien, exercer un meilleur contrôle sur les traceurs

L’ensemble des usages liés aux traceurs doit dorénavant être présenté à l’utilisateur au moment où celui-ci doit faire son choix. Un premier niveau d’information, correspondant à une première description pouvait être limitée à une brève présentation des objectifs poursuivis par les cookies, puis un second niveau d’information relatif à une description plus détaillée est possible. L’internaute doit consentir au dépôt de traceurs par un acte positif clair. Cet acte peut se manifester par un clic sur « J’accepte » dans une bannière cookie. La CNIL a également préconisé l’intégration d’un « Tout refuser » au même niveau qu’un « Tout accepter » pour permettre d’offrir à l’internaute un choix clair et simple. L’internaute peut cependant choisir de refuser tous les traceurs en fermant le bandeau cookies à l’ouverture du site web. À l’inverse la simple présence du bouton « Paramétrer » en addition au bouton « Tout accepter » serait une pratique non conforme aux exigences du RGPD. En effet il dissuaderait le refus de l’internaute. 

II. La question de la légalité des « Cookie Walls » 

L’utilisation d’un « Cookie Wall », traduit littéralement mur de traceurs, est une pratique qui conditionne l’accès à un site contre l’acception du dépôt de traceurs. Cette pratique pose la question de savoir si l’internaute manifeste un consentement libre, c’est à dire un acte positif clair. Il se pourrait donc que la pratique des « Cookie Walls » soit illicite. Pour autant la CNIL a précisé, dans l’attente d’une clarification du législateur européen, qu’elle appliquera les textes, éclairés par la jurisprudence pour déterminer in concreto si l’internaute a exprimé son consentement de manière libre ou non, et si une telle pratique est licite. 

Cette question s’est posée au début du mois d’avril 2021 lorsque le site du journal Le Monde proposait aux internautes soit d’accepter tous les traceurs, c’est à dire même les non essentiels, en plus des essentiels obligatoirement déposés pour continuer sa navigation, soit de s’abonner pour 9,x99€ par mois au journal et n’avoir qu’un dépôt des traceurs essentiels sur son terminal. Le site a depuis arrêté cette pratique et est rentré en conformité avec les exigences de la CNIL. À l’instar du site du quotidien français l’entreprise Webmedia, qui détient des sites comme Allociné, Ozap ou encore jeuxvidéo.com, continue cette pratique du « Cookie Wall ». Les internautes peuvent « accéder au site pour 2€ TTC pendant 1 mois sans cookie publicitaire » ou « accéder au site gratuitement en acceptant les cookies publicitaires ». 

III. Du chantage aux données personnelles ? 

Assisterait-on alors à du chantage aux données personnelles ? Cette pratique pose la question de la liberté du consentement, notamment sur le fait que l’internaute ne doit pas subir de préjudice lorsqu’il donne ou retire son consentement. Ainsi si ce dernier refuse de consentir au dépôt des cookies il subit un préjudice, qui se manifeste par un accès impossible à l’article qu’il souhaite consulter. 

Si la CNIL était assez frileuse sur la pratique des « Cookies Walls », en les interdisant dans ses lignes directrices relatives aux cookies et aux traceurs de juillet 2019, le Conseil d’État a par une décision du 19 juin 2020 affirmé que la CNIL ne pouvait pas légalement interdire la pratique des « Cookie Walls ». En effet celle-ci a excédé son pouvoir. La CNIL est donc contrainte d’accepter la pratique de ces murs de traceurs, qu’elle étudiera au cas par cas. 

La CNIL a également précisé, qu’outre a cybersécurité des sites web et la sécurité des données de santé, le respect des règles applicables aux cookies et des autres traceurs était une de ses thématiques prioritaires de contrôle pour 2021 (lien externe 3). 

Derniers articles UYL