Protection des données : les contraintes sur le recueil du consentement à l’heure du RGPD

L'internaute doit être informé de tous les recueils d'information

Le 4 juillet 2019, la Cnil a publié ses lignes directrices relatives aux cookies et autres traceurs. La Cnil abroge ainsi sa recommandation cookies de 2013 afin de se mettre en conformité avec le RGPD sur le consentement. De fortes contraintes apparaissent pour les e-commerçants et les éditeurs de sites Web, en particulier avec l’interdiction du recueil d’un consentement global. De manière générale, l’internaute doit être informé de tous les recueils d’information. 

Ces lignes directrices de la Cnil seront complétées, au cours du premier trimestre 2020, par des recommandations sectorielles afin de fournir des modalités pratiques de recueil du consentement. Nadège Martin, avocate au barreau de Paris, Associée du cabinet Norton Rose Fulbright liste les points clés à retenir.

Les lignes directrices s’appliquent au-delà des cookies

Les nouvelles règles s’appliquent aux opérations visant à accéder, par voie électronique, à des informations déjà stockées dans le terminal de l’abonné ou de l’utilisateur ou à inscrire des informations dans cet équipement.

Tous les traceurs sont concernés quelque soit leur technologie

Par conséquent, cela porte sur l’utilisation des cookies HTTP mais ont également vocation à s’appliquer à d’autres techniques telles que les « local shared objects » (ou « cookies Flash »), le « local storage » (ou stockage local) mis en oeuvre au sein du HTML 5 ou encore les systèmes de calcul d’empreinte. Tous ces dispositifs sont appelés « les traceurs ». Les lignes directrices de la Cnil précisent également que les règles s’appliquent aux dispositifs couramment utilisés tels que les smartphones, les tablettes, les ordinateurs fixes ou mobiles, les véhicules connectés, les consoles de jeux vidéo, les télévisions connectées ou les assistants vocaux lorsque des traceurs sont utilisés.

Enfin,la Cnil pointe que les informations stockées ou consultées n’ont pas à être des données à caractère personnel pour que les règles sur le consentement s’appliquent. C’était déjà le cas dans sa recommandation de 2013.

Deux changements clés lors du recueil du consentement

Deux changements clés interviennent dans le recueil du consentement.  Le consentement implicite ne peut plus être invoqué. Cela signifie que le fait de continuer à naviguer sur un site web ou d’utiliser une application mobile ne constitue plus une expression valide du consentement.

Une case pré-cochée n’est pas valable pour obtenir le consentement

Le consentement doit être donné par un acte positif clair par lequel l’utilisateur manifeste de façon libre, spécifique, éclairée et univoque son accord. Par exemple, cocher une case sera valable, ce qui ne sera pas le cas des cases pré-cochées.

Par ailleurs, les lignes directrices de la Cnil indiquent clairement que les paramétrages du navigateur ne peuvent, en l’état actuel de la technique, permettre à l’utilisateur d’exprimer la manifestation d’un consentement valide. Dès lors, les acteurs exploitant des traceurs doivent mettre en oeuvre des mécanismes leur permettant de démontrer, à tout moment, qu’ils ont valablement recueilli le consentement des utilisateurs.

Interdiction de mettre en place un cookie wall

Parmi les autres points à retenir sur le consentement : les  « cookie walls » sont généralement interdits. Il s’agit de la pratique consistant à empêcher l’accès à un site web ou à une application mobile pour les individus qui ne consentent pas à être suivis.

L’acceptation globale des conditions générales d’utilisation n’est pas valable

L’acceptation globale des conditions générales d’utilisation ne peut constituer une modalité valable de recueil du consentement dans la mesure où celui-ci ne pourra pas être donné de manière distincte pour chaque finalité. L’information doit être rédigée en des termes simples et compréhensibles pour tous et doit permettre aux utilisateurs d’être parfaitement informés des différentes finalités des traceurs utilisés. L’information doit être complète, visible, et mise en évidence au moment du recueil du consentement.

Un simple renvoi vers les conditions générales n’est pas suffisant. En pratique, les utilisateurs devront recevoir, préalablement à la collecte de leur consentement et a minima, les informations suivantes : (1) l’identité du ou des responsables de traitement, (2) la finalité des activités de traitement des données, et (3) l’existence du droit de retirer son consentement.

La Cnil précise qu’une liste exhaustive et régulièrement mise à jour des entités utilisant des traceurs doit être mise à disposition de l’utilisateur au moment de la collecte de son consentement. Il doit être aussi facile de retirer son consentement que de le donner. Des solutions faciles à utiliser doivent en conséquence être mises en œuvre. Les lignes directrices ne fournissent toutefois aucun conseil pratique à ce sujet.


Les mêmes exceptions aux règles sur le consentement

Les mêmes exceptions sur le recueil du consentement que celles prévues en 2013 continueront à s’appliquer à certains traceurs. Cela concerne les traceurs qui ont pour finalité exclusive de permettre ou de faciliter la communication par voie électronique. Il s’agit par exemple des cookies ayant la capacité de détecter les erreurs de transmission ou les pertes de données.

Les utilisateurs doivent être informés des traceurs qui servent à délivrer le service

De même, cela concerne les traceurs qui sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. Il s’agit des cookies de « panier d’achat » pour un site marchand ou les cookies d’authentification. Malgré tout, les utilisateurs doivent être informés de leur existence et de leur finalité avec, par exemple, une mention relative à l’utilisation de ces cookies dans la politique de confidentialité ou dans la politique cookies du site web.

Dans certains cas, les traceurs de mesure d’audience (« analytics ») peuvent être considérés comme nécessaires à la fourniture du service explicitement demandé par l’utilisateur, sans présenter de caractère particulièrement intrusif et ils sont ainsi exemptés du recueil du consentement. A titre d’exemples, les statistiques de fréquentation et les tests visant à évaluer la performance de différentes versions d’un même site web permettent aux éditeurs de détecter des problèmes de navigation sur leur site ou application.

Pour bénéficier de cette exemption, la Cnil fournit une liste stricte d’exigences à respecter : (1) les utilisateurs doivent être informés de l’utilisation de ce type de traceurs avant leur utilisation ; (2) l’utilisation des traceurs doit être strictement limitée à la production de statistiques anonymes et la durée de vie des traceurs doit être limitée ; et (3) les données à caractère personnel collectées ne doivent pas être recoupées avec d’autres traitements tels que des fichiers clients ou des statistiques de fréquentation d’autres sites ni être transmises à des tiers.

Des responsabilités différentes quand il y a plusieurs parties prenantes

La Cnil distingue plusieurs situations dans lesquelles différentes parties utilisent des traceurs et traitent à ce titre des données à caractère personnel. On trouve ainsi le cas où l’utilisation des traceurs implique une seule entité. Cette dernière est pleinement responsable de l’obligation de recueillir le consentement. C’est le cas d’un éditeur de site web qui utilise des traceurs pour réaliser des statistiques d’usage de son service. Il sera le seul responsable du traitement des données personnelles traitées par le biais de ces traceurs.

Les tiers qui déposent des traceurs doivent obtenir le consentement des utilisateurs

Lorsque plusieurs acteurs écrivent ou lisent des traceurs, ces entités peuvent être considérées comme responsables de traitement « uniques », responsables conjoints ou sous-traitants. C’est le cas d’un éditeur de site web et d’une régie publicitaire qui déposent des traceurs lors de la consultation du site web. Les tiers ayant recours à des traceurs sont pleinement et indépendamment responsables des traceurs qu’ils mettent en oeuvre et doivent à ce titre obtenir le consentement des utilisateurs, bien qu’en pratique ils puissent exiger contractuellement de l’éditeur du site web qu’il recueille le consentement pour leur compte.

Une entité est qualifiée de sous-traitant lorsqu’elle inscrit des informations ou accède à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, pour le compte exclusif d’un responsable de traitement et sans réutilisation des données collectées via le traceur pour son propre compte. Dans ce cas, un contrat conforme à l’article 28 du RGPD devra être conclu.

Un délai de grâce jusqu’en juin 2020 qui ne doit pas amener à attendre

Pour Nadège Martin, avocate au barreau de Paris, ces nouvelles lignes directrices de la Cnil suivent de très près les lignes directrices sur les cookies mises à jour par son homologue britannique l’ICO (Information Commissioner’s Office), le 3 juillet dernier.

On trouve ainsi un alignement sur certains points essentiels : (1) le consentement implicite n’est plus valable, (2) les conditions générales ne constituent pas une modalité valable de recueil du consentement, et (3) les utilisateurs doivent pouvoir identifier toutes les parties plaçant des traceurs pour que leur consentement soit éclairé.
L’avocate prévient que bien que la Cnil ait annoncé, dans un communiqué du 28 juin 2019, un « délai de grâce » de 12 mois pour se conformer à ces nouvelles règles qui seront complétées en 2020, il conviendrait d’anticiper les nouvelles règles sur le consentement, au regard de la position d’autres régulateurs européens et des récentes décisions nationales et de la Cour de justice de l’Union européenne.

Les entreprises ayant une activité internationale notamment doivent être conscientes du fait que ce « délai de grâce » n’est pas une initiative nécessairement partagée par d’autres autorités européennes de protection des données et qu’elle a déjà suscité des réactions en France, en particulier celle de la Quadrature du Net. Pour rappel, le 29 Juillet 2019, la Quadrature du Net a déposé un recours devant le Conseil d’Etat contre la décision de la Cnil d’autoriser la « poursuite de la navigation » comme mode d’expression du consentement aux traceurs durant le délai de grâce.

Nadège Martin recommande aux entreprises de revoir dès maintenant leurs pratiques actuelles en matière de cookies ainsi que leurs politiques relatives aux cookies afin d’entamer le processus de mise en conformité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *