Nouvelles règles pour les cookies et autres traceurs : bilan de la CNIL, actions et sanctions à venir

FacebookTwitterLinkedIn

Le délai accordé pour mettre en conformité les sites et applications mobiles aux règles en matière de traceurs a pris fin le 31 mars 2021. La CNIL rappelle dans son communiqué les éléments clés de la règlementation sur lesquels elle a focalisé ses efforts d’accompagnement pendant cette période et présente les actions à venir.

Une évolution nécessaire des interfaces de recueil des choix

L’évolution des règles applicables, clarifiées par les lignes directrices et la recommandation de la CNIL, marque un tournant et un progrès pour les internautes, qui pourront désormais exercer un meilleur contrôle sur les traceurs en ligne.

Désormais, l’ensemble des usages liés aux traceurs doit être présenté à l’utilisateur au moment où celui-ci doit faire son choix. Pour des raisons de clarté et de concision, une première description peut être limitée à une brève présentation des objectifs poursuivis par les cookies (premier niveau d’information) suivie par une description plus détaillée (second niveau d’information).

L’internaute doit consentir au dépôt de traceurs par un acte positif clair, comme le fait de cliquer sur « J’accepte » dans une bannière cookie. Son silence, qui peut passer par la simple poursuite de la navigation, doit dorénavant s’interpréter comme un refus : aucun traceur non essentiel au fonctionnement du service ne pourra alors être déposé sur son appareil.

La pratique des cookie walls revient à conditionner l’accès à un site à l’acceptation du dépôt de traceurs. Dans l’attente d’une clarification pérenne sur cette question par le législateur européen, la CNIL appliquera les textes en vigueur, tels qu’éclairés par la jurisprudence, pour déterminer au cas par cas si le consentement des personnes est libre et si un cookie wall est licite ou non. Elle sera, dans ce cadre, très attentive à l’existence d’alternatives réelles et satisfaisantes, notamment fournies par le même éditeur, lorsque le refus des traceurs non nécessaires bloque l’accès au service proposé.

L’investissement de la CNIL pour accompagner le changement

L’objectif prioritaire de la CNIL a été, compte tenu des enjeux pour les personnes, la mise en conformité complète et durable des acteurs. Elle a ainsi privilégié, dans un premier temps, une approche progressive d’accompagnement visant à clarifier les règles applicables qui a conduit, le 1er octobre 2020, à la publication de lignes directrices modificatives ainsi que d’une recommandation sur les cookies et autres traceurs, à l’issue d’une concertation puis d’une consultation publique. À la suite de la publication de ces outils, la CNIL a conduit de nombreuses actions pour accompagner les professionnels concernés.

Entre novembre 2020 et février 2021, 18 webinaires ont été organisés afin de répondre aux questions, aussi bien juridiques que techniques, de nombreux professionnels du secteur privé et public (éditeurs, annonceurs, e-commerçants, secteur public, fournisseurs de solution, associations sectorielles, etc.). Ces webinaires ont permis à la CNIL de compléter sa foire aux questions dédiée aux cookies et autres traceurs.

La CNIL a adressé à près de 200 collectivités, ministères et opérateurs de l’État, des courriers et courriels de sensibilisation pour les inciter à procéder à un audit de leurs sites et applications mobiles afin d’engager si nécessaire, et au plus vite, des actions permettant de répondre aux exigences de la réglementation.

Par ailleurs, la CNIL a mis en place un observatoire visant à analyser périodiquement les pratiques en matière de dépôt de cookies des 1 000 sites à plus forte audience en France, en analysant les cookies déposés sur la première page vue par un internaute. Sur la base de résultats obtenus et pour sensibiliser aux risques encourus en cas de non-conformité, la CNIL a décidé de s’adresser par courrier à une centaine d’acteurs privés, sites web à forte audience en France, qui déposaient des cookies sans consentement préalable.

Une thématique prioritaire de contrôle en 2021

La CNIL va désormais réaliser des contrôles pour évaluer l’application des règles relatives aux traceurs, en application de l’article 82 de la loi Informatique et Libertés et des articles 4.11 et 7 du RGPD sur le consentement, telles que synthétisées dans ses lignes directrices.

Par cette action, la CNIL entend répondre aux attentes des internautes de plus en plus sensibles aux problématiques de traçage sur internet, comme en témoignent les plaintes constantes qu’elle reçoit sur ce sujet.

Si des manquements sont constatés à l’issue de contrôles ou de plaintes, la CNIL pourra utiliser l’ensemble des moyens mis à sa disposition dans sa chaîne répressive et prononcer, si nécessaire, des mises en demeure ou des sanctions publiques.