La CNIL et les cookies

CNIL_Logo

Cet article présente les éléments à connaitre ainsi que les questions à se poser pour toute mise en ligne de sites web afin d'être conforme aux recommandations de la CNIL quant à l'utilisation des cookies. Il regroupe et résume de manière structurée les informations présentes sur le site de la CNIL.

1 - Présentation de la CNIL

La CNIL (Commission Nationale de l’Informatique et des Libertés) est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Elle exerce ses missions conformément à la loi informatique et libertés qui la qualifie d'autorité administrative indépendante.

Elle définit des obligations que doivent remplir les utilisateurs des données personnelles :

  • La sécurité des fichiers
  • La confidentialité des données
  • La durée de conservation des informations
  • L’information des personnes
  • L'autorisation de la CNIL
  • La finalité des traitements

2 - Les cookies

Lorsqu'ils naviguent sur le web ou utilisent des applications mobiles, les utilisateurs sont de plus en plus suivis par différents acteurs (éditeurs de service, régies publicitaires, réseaux sociaux, etc.) qui analysent leur navigation, leurs déplacements et leurs habitudes de consultation ou de consommation, afin notamment de leur proposer des publicités ciblées ou des services personnalisés. Ce traçage est réalisé par l'intermédiaire de différentes technologies, dont la plus répandue est aujourd'hui celle des cookies.

Sont concernés les traceurs déposés et lus par exemple lors de la consultation d'un site internet, de la lecture d'un courrier électronique, de l'installation ou de l'utilisation d'un logiciel ou d'une application mobile et ce, quel que soit le type de terminal utilisé tels qu'un ordinateur, un Smartphone, une liseuse numérique et une console de jeux vidéos connectée à Internet. S'ils répondent à certaines conditions, certains traceurs dérogent à cette obligation. A ce titre, le terme de "cookie" recouvre par exemple :

  • les cookies HTTP
  • les cookies "flash",
  • le résultat du calcul d'empreinte dans le cas du " fingerprinting " (calcul d'un identifiant unique de la machine basée sur des éléments de sa configuration à des fins de traçage),
  • les pixels invisibles ou " web bugs ",
  • tout autre identifiant généré par un logiciel ou un système d'exploitation, par exemple.

Les obligations s'appliquent que les cookies collectent des données à caractère personnel ou non.

Les cookies nécessitant une information préalable et une demande de consentement, sont, par exemple :

  • les cookies liés aux opérations relatives à la publicité
  • les cookies des réseaux sociaux générés par les boutons de partage de réseaux sociaux lorsqu'ils collectent des données personnelles sans consentement des personnes concernées
  • certains cookies de mesure d'audience.

Sont exemptés du recueil du consentement les traceurs strictement nécessaires à la fourniture d'un service expressément demandé par l'utilisateur. Ainsi, par exemple, les traceurs suivants ne requièrent pas de consentement :

  • les cookies de " panier d'achat " pour un site marchand
  • les cookies " identifiants de session ", pour la durée d'une session, ou les cookies persistants limités à quelques heures dans certains cas
  • les cookies d'authentification
  • les cookies de session créés par un lecteur multimédia
  • les cookies de session d'équilibrage de charge (" load balancing ")
  • certaines solutions d'analyse de mesure d'audience (analytics)
  • les cookies persistants de personnalisation de l'interface utilisateur

3 - La loi

Le cadre juridique

La loi impose désormais aux responsables de sites et aux fournisseurs de solutions d'informer les internautes et de recueillir leur consentement avant l'insertion de cookies ou autres traceurs.

La loi s'applique quel que soit le type de terminal utilisé.

En modifiant l'article 5(3) de la directive 2002/58/CE par l'adoption de la directive 2009/136/CE, le législateur européen a posé le principe :

  • d'un consentement préalable de l'utilisateur avant le stockage d'informations sur l'équipement d'un utilisateur ou l'accès à des informations déjà stockées.
  • sauf, si ces actions sont strictement nécessaires pour la délivrance d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur.

L'article 32-II de la loi du 6 janvier 1978, modifié par l'ordonnance n°2011-1012 du 24 août 2011 qui a transposé la directive 2009/136/CE reprend ce principe.

En application de la loi informatique et libertés, les traceurs (cookies ou autres) nécessitant un recueil du consentement ne peuvent donc être déposés ou lus sur son terminal, tant que la personne n’a pas donné son consentement.

Les acteurs concernés

Lorsque plusieurs acteurs interviennent dans le dépôt et la lecture de cookies (par exemple lorsque les éditeurs facilitent le dépôt de cookies qui sont ensuite lus par des régies publicitaires), chacun d'entre eux doit être considéré comme coresponsable des obligations découlant des dispositions de l'article 32-II.

L'obligation de recueil du consentement s'impose notamment aux éditeurs d'applications mobiles, aux régies publicitaires, aux réseaux sociaux, aux éditeurs de solutions de mesure d'audience qui ont l'entière responsabilité de se mettre en accord avec la loi.

 Avant de déposer ou lire un cookie, les éditeurs de sites ou d'applications doivent :

  • informer les internautes de la finalité des cookies ;
  • obtenir leur consentement ;
  • fournir aux internautes un moyen de les refuser.

La durée de validité de ce consentement est de 13 mois maximum.

Certains cookies sont cependant dispensés du recueil de ce consentement.

4 - La mise en conformité

Différentes solutions existent pour se mettre en conformité. Il est possible de recueillir le consentement pour les outils non exemptés (exemple : Google analytics) ou d’utiliser un outil exempté de consentement (exemple : PIWIK).

Le recueil du consentement

  •  Le consentement doit être préalable à l'insertion ou à la lecture de cookies

Tant que la personne n'a pas donné son consentement, ces cookies ne peuvent être déposés ou lus sur son terminal.

Si l'internaute se rend sur le site (page d'accueil ou directement sur une autre page du site à partir d'un moteur de recherche par exemple) et ne poursuit pas sa navigation

Il doit être requis à chaque fois qu'une nouvelle finalité vient s'ajouter aux finalités initialement prévues.

  • Le consentement est une manifestation de volonté, libre, spécifique et informée : La validité du consentement est donc liée à la qualité de l'information reçue.

L'information doit être visible, lisible et mise en évidence et complète sur tous les terminaux

Elle doit être rédigée en des termes simples et compréhensibles pour tout utilisateur.

Elle doit permettre aux internautes d'être parfaitement informés des différentes finalités des cookies.

  • Le consentement n'est valide que si la personne exerce un choix réel.

L'utilisateur doit pouvoir accepter ou refuser le dépôt des cookies.

Une simple absence d'action ne saurait être en effet assimilée à une manifestation de volonté

Le consentement ne peut être valable que si la personne concernée est en mesure d'exercer valablement son choix (manifestation positive) et n'est pas exposée à des conséquences négatives importantes si elle refuse de donner son consentement. La personne qui refuse un cookie nécessitant un consentement doit pouvoir continuer à bénéficier du service (l'accès à un site internet par exemple).

Le choix doit pouvoir être effectué pour chaque application et chaque site internet.

L'acceptation de conditions générales d'utilisation ne peut être une modalité valable de recueil du consentement.

Les différents systèmes de consentement

Les systèmes de consentement peuvent revêtir plusieurs formes telles que :

  • l'affichage d'une bannière décrivant les finalités des cookies utilisés, demandant explicitement à la personne si elle accepte le dépôt par familles de cookies, tout en lui précisant les moyens dont elle dispose pour retirer ultérieurement son consentement
  • une zone de demande de consentement en surimpression
  • des cases à cocher lors de l'inscription à un service en ligne lui permettant d'accepter le dépôt de cookies par catégories de finalités
  • des boutons permettant d'activer les fonctionnalités d'un service déposant des cookies (par exemple, les plugins des réseaux sociaux)

 Les paramètres du navigateur pour les cookies http

Le recours aux paramètres du navigateur peut, dans certaines hypothèses, permettre aux internautes d'exercer valablement leur choix. Les paramètres du navigateur peuvent être utilisés pour s'opposer aux cookies tiers uniquement si :

  • L'internaute a été informé avant le dépôt des cookies, de leurs finalités.
  • l'ensemble des cookies déposés sur votre site sont des cookies HTTP : Les paramètres du navigateur ne permettent pas, en l’état actuel de la technique, de gérer des technologies autres que les cookies HTTP. Ils ne pourraient donc être regardés comme satisfaisants en cas d’utilisation d’autres technologies que les cookies HTTP, tels que les pixels invisibles, les cookies flash, ou les techniques de fingerprinting.
  • l'ensemble des cookies déposés sur votre site sont des cookies tiers : c'est à dire, des cookies placés par le serveur d'un domaine distinct de celui du site visité. Dans le cas contraire, vous devrez mettre en place un autre mécanisme pour gérer les choix de vos utilisateurs.

Si vous utilisez la solution de mesure d'audience de Google (ou une autre solution s'appuyant sur des "first party" cookies), il vous faudra donc ajouter le script de demande de consentement.

Il n'est pas concevable de proposer aux internautes de bloquer tous les cookies dans les paramètres de son navigateur. En effet, certains "first party" cookies (cookies déposés et lus pas le site web consulté par l'internaute) sont essentiels au fonctionnement des sites web. Le refus de ces cookies peut avoir pour conséquence de priver l'internaute d'un accès à certains services. En ce sens, cette hypothèse est à exclure.

L’option DoNotTrack

Le paramètre DoNotTrack offert par certaines versions récentes des navigateurs n'est pas, pour le moment, interprété par tous les acteurs comme une opposition au traçage par les régies publicitaires et n'est donc pas suffisante pour refléter le choix de l'utilisateur.

La Commission considère que lorsqu'un internaute décide d'activer une option de type " do not track ", aucun profil ne devrait être réalisé sur cet internaute et sur son terminal. Cette position a été reprise par le G29 dans son avis 04/2012 du 7 juin 2012 sur les cookies exemptés de consentement. La Commission recommande donc, en cas d'activation de cette option, qu'aucune information ne soit collectée pour établir un profil de l'internaute et que ce dernier, comme son terminal, ne soient pas tracés

Les solutions de mesure d’audience (analytics)

 Pour être exemptés de demande de consentement, les cookies de mesure d'audience doivent respecter les conditions suivantes :

  • une information doit être donnée aux utilisateurs qui doivent pouvoir s'opposer au traitement (cette opposition doit pouvoir se faire depuis n'importe quel terminal) ;
  • les données collectées ne doivent pas être recoupées avec d'autres traitements (fichiers clients ou statistiques de fréquentation d'autres sites par exemple) ;
  • le traceur déposé ne doit servir qu'à la production de statistiques anonymes et ne doit pas permettre le suivi de la navigation sur différents sites. Il ne doit pas être conservé au-delà de 13 mois et ne doit pas être prorogé lors des nouvelles visites ;
  • les données de fréquentation brutes associant un identifiant ne doivent pas non plus être conservées plus de 13 mois ;
  • l'utilisation de l'adresse IP pour géolocaliser l'usager ne doit pas permettre de déterminer sa rue : seuls les deux premiers octets des adresses IPv4 peuvent être conservés et éventuellement utilisés pour de la géo localisation (pour IPv6 seuls les 6 premiers octets peuvent être conservés).

Aujourd'hui, peu d'outils permettent de respecter ces différentes conditions. Les solutions d'analytics qui ne respectent pas les conditions ci-dessus doivent faire l'objet du recueil du consentement préalable des utilisateurs.

5 - Sources

Site de la CNIL : http://www.cnil.fr/vos-droits/vos-traces/les-cookies/

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Captcha *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.