L’essentiel : À l’approche de la date butoir du 31 mars 2021, la CNIL a exhorté les entités publiques et privées à auditer leurs sites internet. Elle a également lancé le logiciel gratuit CookieViz, permettant de visualiser les cookies déposés par des domaines tiers. Dans le cadre de son plan d’action sur le ciblage publicitaire, la CNIL a accordé un délai de six mois pour se conformer aux nouvelles règles sur l’usage des cookies. Elle a souligné que les cookies strictement nécessaires à la production de statistiques anonymes ne nécessitent pas de consentement préalable, tout en appelant à une meilleure transparence dans la gestion des cookies.

A l’approche de la date butoir du 31 mars 2021, la CNIL a invité les entités publiques et privées à faire auditer leurs sites internet.  La CNIL propose également le logiciel gratuit CookieViz, qu’elle a développé et qui permet de visualiser les cookies déposés depuis des domaines tiers lors de la visite d’un site. Depuis la version 2 lancée en septembre 2020, de nouvelles fonctionnalités d’analyses avancées des sites ont été ajoutées, tout comme le support multilingue et de nouvelles options pour prédéfinir des parcours de visites, manuellement, depuis des fichiers ou depuis une liste préétablie comme le top Alexa.

Dans le cadre de son plan d’action sur le ciblage publicitaire en ligne, la CNIL a estimé raisonnable d’accorder un délai de six mois à compter de la publication des lignes directrices modificatives et de la recommandation portant sur l’usage des cookies pour que les acteurs concernés se mettent en conformité avec les nouvelles règles ainsi clarifiées. Celles-ci ayant été adoptées le 1er octobre 2020, la période d’adaptation accordée arrivera à son terme le 31 mars 2021.

Cookies de mesures d’audience

Concernant les cookies et traceurs utilisés pour les mesures d’audience, la CNIL a rappelé que ceux servant uniquement à produire des statistiques anonymes et strictement nécessaires au bon fonctionnement du service, et limités à ce seul usage par le seul éditeur du site ou de l’application mobile, ne sont pas soumis à l’exigence du consentement préalable (article 5 des lignes directrices « cookies et autres traceurs »). La CNIL publiera, dans les semaines à venir, des éléments complémentaires concernant les outils de mesure d’audience pouvant prétendre à l’exemption.

Une grande majorité de sites web du secteur public concernée

Dans le cadre de sa mission d’accompagnement et de conseil, la CNIL a souhaité s’adresser à un certain nombre d’organismes publics, pour les inciter à procéder rapidement à un audit de leurs sites web et applications mobiles afin d’engager si nécessaire, et au plus vite, des actions permettant de répondre aux exigences de la réglementation. 200 collectivités, ministères et opérateurs de l’État ont été destinataires de courriers et courriels de sensibilisation. La CNIL s’est également appuyée sur certaines têtes de réseaux du secteur public (Association des maires de France, Assemblée des départements de France, Régions de France, Réseau Déclic, Conférence des présidents d’université, SupDPO) pour assurer une large diffusion de cette campagne. En effet, la CNIL a pu constater que la grande majorité des sites web du secteur public ne respecte pas pleinement, à ce jour, les dispositions légales relatives aux cookies.

Les points de conformité à suivre

La CNIL a ainsi attiré l’attention sur la nécessité d’engager au plus vite certaines actions :

Le bandeau cookies, apparaissant notamment sur la page d’accueil d’un site web, doit détailler les finalités pour lesquelles ces cookies sont déposés sur les appareils des utilisateurs. En effet, la seule présence d’informations générales telles que « Ce site utilise des cookies » ou « Des cookies sont utilisés pour améliorer l’efficacité des services qui vous sont proposés » n’est pas suffisante.

L’utilisateur doit pouvoir accepter ou refuser les cookies avec le même degré de simplicité.

La CNIL a eu l’occasion de rappeler que l’intégration d’un bouton « Tout refuser » sur le même niveau et sur le même format que le bouton « Tout accepter » permet d’offrir un choix clair et simple pour l’internaute. Il est aussi possible, par exemple, d’offrir explicitement à l’utilisateur la possibilité de refuser les traceurs en fermant le bandeau cookies. En revanche, la seule présence d’un bouton « Paramétrer » en complément du bouton « Tout accepter » tend, en pratique, à dissuader le refus et ne permet donc pas de se mettre en conformité avec les exigences posées par le RGPD.

Dépôt de cookies sans consentement préalable : une centaine d’acteurs privés informés par la CNIL

Conjointement à la publication des lignes directrices et de la recommandation concernant l’usage des cookies et autres traceurs, la CNIL a mis en place un observatoire. Celui-ci vise à analyser périodiquement les pratiques en matière de dépôt de cookies des 1 000 sites à plus forte audience en France, en analysant les cookies déposés sur la première page vue par un internaute les consultant. Les principaux résultats et la méthodologie appliquée sont disponibles sur le site du LINC, le Laboratoire d’Innovation Numérique de la CNIL.

Sur la base de ces résultats et pour les sensibiliser aux risques encourus en cas de non-conformité, la CNIL a décidé de s’adresser par courrier aux sites web à forte audience en France qui déposent des cookies provenant de plus de 6 domaines tiers sans consentement préalable. Parallèlement à son action vers les organismes publics, la CNIL leur a également rappelé que le renforcement des exigences posées par le RGPD en matière de consentement rend nécessaire une évolution des interfaces de recueil des choix des utilisateurs d’applications ou de sites web recourant aux techniques de traçage (par exemple lorsqu’ils intègrent des contenus provenant de sources externes tels que des boutons de réseaux sociaux).

Q/R juridiques soulevées :

Quel est l’objectif de l’invitation de la CNIL aux entités publiques et privées ?

La CNIL a invité les entités publiques et privées à auditer leurs sites internet en raison de l’échéance du 31 mars 2021, qui marquait la fin de la période d’adaptation aux nouvelles règles concernant l’usage des cookies.

Cette initiative vise à s’assurer que les sites respectent les exigences légales en matière de protection des données personnelles, notamment en ce qui concerne le consentement des utilisateurs pour le dépôt de cookies.

Pour faciliter cette démarche, la CNIL a développé un logiciel gratuit, CookieViz, permettant de visualiser les cookies déposés par des domaines tiers lors de la navigation sur un site.

Quelles sont les nouvelles fonctionnalités de CookieViz ?

Depuis la version 2 de CookieViz lancée en septembre 2020, plusieurs nouvelles fonctionnalités ont été ajoutées. Parmi celles-ci, on trouve des analyses avancées des sites, un support multilingue, ainsi que des options pour prédéfinir des parcours de visites.

Ces parcours peuvent être configurés manuellement, à partir de fichiers ou d’une liste préétablie, comme le top Alexa. Ces améliorations visent à rendre l’outil plus efficace pour les utilisateurs souhaitant comprendre et gérer les cookies sur leurs sites.

Quels types de cookies ne nécessitent pas de consentement préalable selon la CNIL ?

La CNIL a précisé que les cookies utilisés uniquement pour produire des statistiques anonymes et qui sont strictement nécessaires au bon fonctionnement d’un service ne nécessitent pas de consentement préalable.

Ces cookies doivent être limités à un usage spécifique par l’éditeur du site ou de l’application mobile. La CNIL prévoit de publier des éléments complémentaires sur les outils de mesure d’audience pouvant prétendre à cette exemption.

Comment la CNIL a-t-elle sensibilisé le secteur public ?

La CNIL a adressé des courriers et courriels à 200 collectivités, ministères et opérateurs de l’État pour les inciter à auditer rapidement leurs sites web et applications mobiles.

Elle a également collaboré avec des têtes de réseaux du secteur public, comme l’Association des maires de France et Régions de France, pour assurer une large diffusion de cette campagne de sensibilisation.

Cette initiative a été motivée par le constat que la majorité des sites web du secteur public ne respectaient pas pleinement les dispositions légales relatives aux cookies.

Quels sont les points de conformité à suivre selon la CNIL ?

La CNIL a souligné plusieurs points de conformité essentiels. Tout d’abord, le bandeau cookies doit détailler les finalités des cookies déposés sur les appareils des utilisateurs.

Des informations vagues comme « Ce site utilise des cookies » ne suffisent pas. De plus, l’utilisateur doit avoir la possibilité d’accepter ou de refuser les cookies avec la même simplicité.

L’intégration d’un bouton « Tout refuser » au même niveau que le bouton « Tout accepter » est recommandée pour offrir un choix clair.

Quelles actions la CNIL a-t-elle entreprises concernant les acteurs privés ?

La CNIL a mis en place un observatoire pour analyser les pratiques de dépôt de cookies des 1 000 sites à plus forte audience en France.

Elle a décidé d’informer par courrier les sites qui déposent des cookies provenant de plus de 6 domaines tiers sans consentement préalable.

Cette démarche vise à sensibiliser ces acteurs aux risques de non-conformité, en rappelant que le renforcement des exigences du RGPD nécessite une évolution des interfaces de recueil des choix des utilisateurs.