La CNIL vient de publier des lignes directrices modificatives ainsi qu’une recommandation actualisant les règles applicables à l’usage de cookies et autres traceurs, accompagnées de préconisations pratiques. Cette importante mise à jour intervient dans le contexte du plan d’action de la CNIL sur le ciblage publicitaire.
A la différence de ce que prévoyait la précédente recommandation de 2013, la simple poursuite de la navigation sur un site internet ne peut plus être considérée comme une expression valide du consentement de l’internaute à l’utilisation de traceurs. La CNIL rappelle en effet que le consentement est obligatoire pour le dépôt d’un certain nombre de cookies et que celui-ci doit consister en un acte positif clair, répondant aux exigences du RGPD. Toute autre action ou inaction doit désormais être interprétée comme un refus.
Par ailleurs, afin de respecter le principe de transparence, les différentes finalités des traceurs doivent être présentées aux utilisateurs en amont du recueil du consentement. Par soucis de lisibilité, la Commission recommande que chaque finalité soit mise en exergue dans un intitulé court, accompagné d’un bref descriptif.
La Commission recommande de demander aux utilisateurs leur consentement de façon indépendante et spécifique pour chaque finalité distincte, bien qu’il reste possible de prévoir l’acceptation ou le refus global de toutes les finalités, sous certaines conditions.
Ces nouvelles lignes directrices signent donc la fin du fameux « bandeau cookies » suivant lequel la poursuite de la navigation emporte consentement de l’internaute aux cookies.
La recommandation propose quant à elle un certain nombre de modalités pratiques permettant de se conformer à la règlementation concernant :
Enfin, dans la mesure où l’utilisateur doit être libre de revenir sur sa décision à tout moment, la recommandation fournit des préconisation pratiques concernant la gestion et le retrait du consentement des internautes lors de leur navigation sur le site.
Un timing serré pour les entreprises
La CNIL a annoncé que des missions de contrôle sur l’application de ces nouvelles préconisations seront réalisées dans un délai de 6 mois suivant la publication de la recommandation et des lignes directrices.
Reste à savoir si ces lignes directrices modifiées resteront d’actualité avec l’adoption du futur règlement ePrivacy, si celui-ci finit par voir le jour.
Dans l’intervalle, les sites internet, plus que jamais dans le viseur de la CNIL, n’auront d’autres choix que de revoir en profondeur leur politique de cookies pour se conformer à ces nouvelles recommandations, et éviter les sanctions.
