Elle a adopté de façon formelle le 5 décembre 2013 une recommandation sur les cookies[1] qui met à jour les recommandations plus informelles qu’elle avait publiées sur son site après la transposition, en aout 2011, à l’article 32 II de la loi Informatique et Libertés de l’article 5.3 de la directive Vie Privé et Communications Électroniques.[2]

Elle a aussi publié le 16 décembre 2013 sur son site plusieurs fiches pratiques[3] ainsi que des outils et codes sources.[4]

Cookies et autres délicatesses

La CNIL rappelle que le mot cookies doit être pris au sens large de toute technologie de traçage (notamment, en l’état des connaissances actuelles, les local shared objects ou cookies « flash« , les pixels invisibles ou « web bugs », les identifications par calcul d’empreinte du terminal ou « fingerprinting » ou encore des identificateurs cachés).

Elle précise aussi que la recommandation s’applique aux cookies déposés et lus, notamment lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile, quel que soit le système d’exploitation, le navigateur ou le terminal utilisés (par exemple un ordinateur, une tablette, un « Smartphone », une télévision connectée, une console de jeux vidéo connectée au réseau Internet).

Elle distingue toujours les cookies qui ne requièrent pas de consentement de ceux qui en requièrent.

À savoir, sont exemptés du recueil du consentement :

  • les traceurs strictement nécessaires à la navigation ou à la fourniture d’un service expressément demandé par l’utilisateur. La CNIL donne une liste d’exemples.
  • certaines solutions d’analyse de mesure d’audience dont elle précise les critères.

Le consentement préalable est requis pour :

  • les cookies liés aux opérations relatives à la publicité ciblée ;
  • les cookies des réseaux sociaux générés par les « boutons de partage de réseaux sociaux » ;
  • certains cookies de mesure d’audience (parmi lesquels Google analytics)

Comment recueillir le consentement ?

La CNIL recommande que le recueil du consentement de l’internaute intervienne en deux étapes :

  1. le site visité doit comporter un bandeau informant l’internaute que la poursuite de sa navigation vaut accord pour l’installation et la lecture de cookies. Ce bandeau doit mentionner les finalités des cookies utilisés et informer de la possibilité de s’y opposer (via un lien vers une page dédiée du site).
  2.  l’internaute doit être informé (sur une page « En savoir plus ») de manière simple et lisible des moyens mis à sa disposition pour accepter ou refuser tout ou partie des cookies.

L’information doit être claire et préciser toutes les technologies ainsi que toutes les catégories de finalités qui doivent chacune faire l’objet d’un consentement.

Le consentement doit être libre : pour cela il ne faut pas que le refus puisse affecter le droit d’utiliser un service.

Qui est concerné ?

L’obligation de recueil du consentement préalable s’impose notamment : aux éditeurs de sites, de système d’exploitation, et d’applications, aux régies publicitaires, aux réseaux sociaux, aux éditeurs de solutions de mesure d’audience.

La CNIL considère que lorsque qu’un éditeur (de site ou d’application) facilite le dépôt de cookies qui sont ensuite lus par des tiers (tels que par exemple des régies publicitaires, des réseaux sociaux, des éditeurs de solutions de mesure d’audiences), l’éditeur est co-responsables avec ceux-ci de l’information et de l’obtention du consentement.

Durée de vie

La CNIL recommande que le délai de validité du consentement au dépôt des cookies soit de treize mois au maximum. À l’expiration de ce délai, le consentement devra être à nouveau recueilli.

Les cookies doivent donc avoir une durée de vie limitée à treize mois après leur premier dépôt.

Même si un bon nombre de sociétés ont déjà mise en œuvre des solutions, il leur faudra encore procéder à un calibrage pour se mettre en conformité avec les recommandations de la CNIL.
 


[1] Délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux Cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978  www.cnil.fr/documentation/deliberations/deliberation/delib/300/ [2] Voir nos articles Les cookies : Transposition par ordonnance de la directive du 25 novembre 2009
Cookies : le consentement peut-il se paramétrer ? [3] www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceurs/ [4] www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceurs/#c5560

Stéphanie Faber est membre de voxFemina – Paroles d’Experts au Féminin