Un an après l’adoption de ses premières lignes directrices le 4 juillet 2019, la CNIL a publié le 1er octobre 2020, des lignes directrices modificatives tirant les conséquences de la décision rendue par le Conseil d’Etat le 19 juin dernier (voir notre précédent article), ainsi qu’une recommandation portant sur l’usage des cookies et autres traceurs et adoptées à la suite d’une consultation publique entamée le 14 janvier 2020. Pour la CNIL, cette évolution des règles applicables marque un tournant pour les internautes, qui pourront désormais exercer un meilleur contrôle sur les traceurs en ligne.

Les éditeurs auront quant à eux 6 mois (soit jusqu’à fin mars 2021 au plus tard) pour se mettre en conformité. Pendant cette période, la CNIL tiendra compte des difficultés opérationnelles des opérateurs et privilégiera l’accompagnement au contrôle. Elle se réserve néanmoins la possibilité de poursuivre certains manquements, notamment en cas d’atteinte particulièrement grave au respect de la vie privée (conformément à la jurisprudence du Conseil d’Etat), ou encore en cas de manquement aux règles relatives aux cookies antérieures à l’entrée en application du RGPD, à la lumière de sa précédente recommandation du 5 décembre 2013.

La CNIL confirme les grands principes que nous connaissions déjà

• Pas de cookie sans consentement (sauf exception, y compris pour certains cookies de mesure d’audience), lequel doit se manifester par un acte positif clair, comme le fait de cliquer sur « j’accepte » dans une bannière cookie. A l’inverse, la simple poursuite de la navigation n’est pas suffisante.
• Le retrait du consentement doit être aussi simple que le consentement lui-même.
• Refuser les cookies doit être aussi simple que de les accepter.
• Les internautes doivent être informés clairement et préalablement des finalités des cookies et des conséquences en cas d’acceptation ou refus, ainsi que de l’identité de tous les acteurs utilisant des cookies soumis à consentement.

La preuve du respect de ces obligations pèse sur les organismes exploitant les cookies.

La CNIL tempère également, après la décision du Conseil d’Etat de juin dernier(1) , sa position interdisant de manière absolue la pratique du « cookie wall » (qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas au dépôt ou à la lecture, sur son terminal, de traceurs de connexion) Ainsi, la CNIL estime désormais que « le fait de subordonner la fourniture d’un service ou l’accès à un site web à l’acceptation d’opérations d’écriture ou de lecture sur le terminal de l’utilisateur (pratique dite de « cookie wall ») est susceptible de porter atteinte, dans certains cas, à la liberté du consentement ». La CNIL ajoute que cette pratique doit être appréciée au cas par cas afin de vérifier si celle-ci est conforme aux exigences du RGPD.

Elle apporte enfin des recommandations sur la manière de mettre en œuvre ses lignes directrices en établissant les bonnes pratiques des éditeurs de sites Internet pour informer les internautes et recueillir leur consentement conformément au RGPD. A noter que la recommandation de la CNIL n’ayant pas de valeur contraignante, le non-respect ne donnera pas nécessairement lieu à sanction tant que la règlementation en vigueur (le RGPD, la directive ePrivacy et la loi Informatique et Libertés) est respectée. Celle-ci pourra être amenée à évoluer lorsque le nouveau projet de règlement ePrivacy verra le jour(2).

Pour en apprendre davantage sur les règles applicables aux cookies et à votre stratégie digitale, nous vous invitons à vous inscrire à la formation organisée par le cabinet DELSOL Avocats le mardi 17 novembre de 9h à 12h30. Le programme et le formulaire d’inscription sont disponibles ici.

(1) Pour rappel, le Conseil d’Etat a considéré que la CNIL a excédé ce qu’elle peut légalement faire, dans le cadre d’un instrument de droit souple, et n’aurait pas dû interdire cette pratique de manière générale et absolue. (2) Le règlement ePrivacy est en discussion depuis avril 2016 mais aucune conclusion définitive n’a encore été apportée. La dernière version du projet a été publiée le 21 février 2020 par la Présidence du Conseil de l’UE. Les délibérations ultérieures ont été annulées en raison de la crise COVID-19.