L’essentiel : Le 16 décembre 2024, la CNIL a reçu plusieurs plaintes concernant des bandeaux de recueil du consentement pour les cookies, jugés trompeurs. Selon la loi Informatique et Libertés et le RGPD, le consentement explicite des utilisateurs est requis avant le dépôt de cookies. La CNIL souligne que le refus des cookies doit être aussi simple que leur acceptation. Des pratiques non-conformes, telles que la difficulté à refuser ou la confusion entre options, ont été observées. En conséquence, plusieurs éditeurs de sites ont été mis en demeure de modifier leurs bandeaux pour garantir un consentement valide et conforme.

Le 16 décembre 2024, la Commission Nationale de l’Informatique et des Libertés (CNIL) a annoncé avoir été saisie de plusieurs plaintes concernant des bandeaux de recueil du consentement pour le dépôt de cookies sur des sites web. Ces bandeaux étaient jugés trompeurs et incitaient les internautes à accepter les cookies de manière ambiguë.

Rappel des obligations légales : consentement préalable pour le dépôt des cookies

Conformément à la loi Informatique et Libertés (article 82) et au Règlement Général sur la Protection des Données (RGPD), les cookies ne peuvent être déposés sur les appareils des utilisateurs qu’après leur consentement explicite. De plus, la loi impose que le processus de refus des cookies soit aussi simple et accessible que celui d’acceptation.

 La CNIL rappelle deux règles fondamentales de protection des internautes. 

1. Informer

La première règle est que, avant que l’internaute accepte les cookies, le site doit l’informer, de façon claire et synthétique, de ce à quoi ils vont servir: publicité personnalisée ou non, publicité géolocalisée, personnalisation du contenu ou encore partage d’information avec les réseaux sociaux.

2. Refuser doit être aussi facile que d’accepter

La deuxième est que l’internaute doit pouvoir refuser les cookies aussi facilement qu’il lui est proposé de les accepter, comme l’a récemment jugé le Conseil d’Etat (CE, 19 juin 2020, n° 434684, T.).

La CNIL estime donc que lorsqu’un seul clic est requis pour «accepter les cookies» tandis que plusieurs actions sont nécessaires pour paramétrerun refus, il y a un risque que l’internaute, qui souhaite généralement accéder rapidement au site, soit influencé.

Les conséquences pour les professionnels

En tant que régulateur, la CNIL demande aux sites internet de respecter ces règles. Les professionnels et les éditeurs de sites internet doivent donc s’interroger : l’internaute peut-il, en quelques mots simples, comprendre à quoi servent les traceurs publicitaires avant de cliquer sur «accepter»? Peut-il refuser facilement ou doit-il passer par un paramétrage complexe et donc dissuasif?

Pour ces nouvelles règles, la CNIL estime que le délai de mise en conformité des acteurs concernés et donc,des sites internet, ne devrait pas dépasser six mois, soit fin mars 2021 au plus tard.

Les pratiques trompeuses observées par la CNIL

La CNIL a constaté que certains bandeaux de recueil du consentement ne respectaient pas ces exigences, induisant en erreur les utilisateurs. Concrètement, les pratiques non-conformes observées incluent :

1. Difficulté à refuser les cookies : L’option permettant de refuser les cookies était moins visible ou moins accessible que l’option d’acceptation. Par exemple, le lien de refus était cliquable, mais sa présentation visuelle (couleur, taille de la police) le rendait moins attractif et moins accessible que le bouton d’acceptation.
2. Confusion entre les options : L’option de refus était parfois mélangée avec d’autres informations dans le bandeau, sans suffisamment de séparation visuelle. Cela rendait l’option de refus difficile à discerner par rapport aux autres éléments du texte.
3. Manque de clarté de l’option de refus : Dans certains cas, l’option de refus était exprimée de manière floue, avec des termes comme « je décline les finalités non essentielles », ce qui ne permettait pas aux utilisateurs de comprendre clairement qu’ils refusaient les cookies.
4. Réitération excessive de l’option d’acceptation : L’option d’acceptation des cookies était parfois présentée plusieurs fois dans le bandeau, alors que l’option de refus n’apparaissait qu’une seule fois et avec moins de visibilité.

La mise en demeure de la CNIL

À la suite de l’analyse de ces plaintes, la Présidente de la CNIL a estimé que ces bandeaux constituaient un manquement aux dispositions de la loi Informatique et Libertés (article 82), et a mis en demeure plusieurs éditeurs de sites web. Ceux-ci ont été invités à modifier leurs bandeaux de recueil du consentement dans un délai d’un mois afin de garantir que le consentement des internautes soit valable et conforme à la réglementation.

L’importance de la conformité avec le RGPD et la directive ePrivacy

La CNIL a également rappelé que tous les acteurs concernés, qu’ils soient éditeurs de sites web ou entreprises gérant des cookies, doivent veiller à la conformité de leurs pratiques avec les exigences du RGPD et de la directive ePrivacy. Ces régulations imposent une transparence totale dans l’information donnée aux utilisateurs et un contrôle total sur les choix qu’ils font concernant l’acceptation ou le refus des cookies.

Cookies : les questions réponses de la CNIL

Quels cookies nécessitent le consentement préalable des utilisateurs ?

Tous les cookies n’ayant pas pour finalité exclusive de permettre ou faciliter une communication par voie électroniqueou n’étant passtrictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateurnécessitent le consentement préalable de l’internaute. Parmi les cookiesnécessitant une information préalable et le recueil préalable du consentement de l’utilisateur, on peut notammentciter :

• les cookies liés aux opérations relatives à la publicité personnalisée ;
• les cookies des réseaux sociaux, notamment générés par leurs boutons de partage.

En ce qui concerne les traceurs non soumis au consentement, on peut évoquer:

• les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
• les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
• les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer, à l’utilisateur, le(s) produit(s) et/ou service(s) acheté(s) ;
• les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
• les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
• les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
• certains traceurs d’audience dès lors qu’ils respectent certaines conditions.

Comment recueillir valablement le consentement ?

Le consentement doit se manifester parune action positive de la personne préalablement informée, notamment, des conséquences de son choix et disposant des moyens d’accepter, de refuser et de retirer son consentement. Des systèmes adaptés doivent donc être mis en place pour recueillir le consentement selon des modalités pratiques qui permettent aux internautes de bénéficier de solutions simples d’usage.

L’acceptation de conditions générales d’utilisation ne peut être une modalité valable de recueil du consentement.

Le consentement doit être préalable au dépôt et/ou à la lecture de cookies.

• Tant que la personne n’a pas donné son consentement, les cookies ne peuvent pas être déposés ou lus sur son terminal.
• Il doit être requis à chaque fois qu’une nouvelle finalité nécessitant le consentement vient s’ajouter aux finalités initialement prévues.

Le consentement est une manifestation de volonté, libre, spécifique, univoque et éclairée

Concernant l’information donnée à l’internaute :

• Elle doit être visible, mise en évidence et complète.
• Elle doit être rédigée en des termes simples et compréhensibles par tout utilisateur.
• Elle doit permettre aux internautes d’être parfaitement informés notamment s’agissant des différentes finalités des cookies et de l’identité des responsables du ou des traitements.
• Afin de concilier concision et précision de l’information, il est possible d’avoir deux niveaux d’information : par exemple, un premier niveau peut brièvement décrire chaque finalité de traitement, tandis qu’un second niveau viendrait fournir plus de détails sur ces finalités et sur la liste des responsables du ou des traitements.

Le consentement n’est valide que si la personne exerce un choix réel.

• L’utilisateur doit pouvoir accepter ou refuser le dépôt et/ou la lecture des cookies avec le même degré de simplicité.
• Aux termes du considérant 42 du RGPD, qui éclaire l’exigence de liberté du consentement posée par son article 4, « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».  
• Par ailleurs, la CNIL recommande que ce choix soit effectué sur chacun des sites ou applications concernés par le suivi de navigation.

Le consentement doit pouvoir être retiré simplement et à tout moment par l’utilisateur.

• Il doit être aussi simple de retirer son consentement que de le donner.
• Des solutions permettant aux utilisateurs de retirer leur consentement doivent être mises à la disposition de l’utilisateur. Elles doivent être accessibles à tout moment.

Comment prouver que l’on a bien recueilli le consentement ?

Chaque acteur se prévalant du consentement doit être en mesure d’en apporter la preuve. Il peut pour cela utiliser les modalités suivantes, non exclusives :

• Une mise sous séquestre auprès d’un tiers du code informatique utilisé par l’organisme recueillant le consentement, pour les différentes versions de son site ou de son application mobile, voire simplement par la publication horodatée sur une plate-forme publique d’un condensat (ou « hash ») de ce code pour pouvoir prouver son authenticité a posteriori ;
• Une capture d’écran du rendu visuel affiché sur un terminal mobile ou fixe peut être conservée, de façon horodatée, pour chaque version du site ou de l’application ;
• Des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre par des tiers mandatés à cette fin ;
• Les informations relatives aux outils mis en œuvre et à leurs configurations successives (tels que les solutions de recueil du consentement, également connues sous l’appellation CMP « Consent Management Platform ») peuvent être conservées, de façon horodatée, par les tiers éditant ces solutions

Cookies : Documents à télécharger

Lignes directrices de la CNIL « cookies et autres traceurs » (pdf)

Recommandation de la CNIL « cookies et autres traceurs » (pdf)

Q/R juridiques soulevées :

Qu’est-ce que la CNIL a annoncé le 16 décembre 2024 ?

La Commission Nationale de l’Informatique et des Libertés (CNIL) a annoncé avoir reçu plusieurs plaintes concernant des bandeaux de recueil du consentement pour le dépôt de cookies sur des sites web. Ces bandeaux étaient jugés trompeurs et incitaient les internautes à accepter les cookies de manière ambiguë, ce qui soulève des préoccupations quant à la protection des données personnelles des utilisateurs. Cette annonce met en lumière l’importance de la transparence et de la clarté dans le processus de consentement des utilisateurs concernant l’utilisation de cookies sur les sites web.

Quelles sont les obligations légales concernant le consentement pour les cookies ?

Conformément à la loi Informatique et Libertés (article 82) et au Règlement Général sur la Protection des Données (RGPD), les cookies ne peuvent être déposés sur les appareils des utilisateurs qu’après leur consentement explicite. Cela signifie que les utilisateurs doivent être informés de manière claire et synthétique sur l’utilisation des cookies avant de donner leur accord. De plus, la loi impose que le processus de refus des cookies soit aussi simple et accessible que celui d’acceptation, garantissant ainsi une véritable liberté de choix pour les internautes.

Quelles sont les deux règles fondamentales rappelées par la CNIL ?

La CNIL rappelle deux règles fondamentales de protection des internautes concernant le consentement aux cookies. La première règle stipule que le site doit informer l’internaute, de manière claire et synthétique, de l’utilisation des cookies avant qu’il n’accepte. Cela inclut des informations sur la publicité personnalisée, la géolocalisation, et le partage d’informations avec les réseaux sociaux. La deuxième règle est que l’internaute doit pouvoir refuser les cookies aussi facilement qu’il peut les accepter. Cela a été confirmé par le Conseil d’État, qui a souligné l’importance d’un processus de refus accessible et simple.

Quelles sont les conséquences pour les professionnels en cas de non-conformité ?

Les professionnels et les éditeurs de sites internet doivent s’interroger sur la clarté des informations fournies aux internautes concernant les cookies. Ils doivent s’assurer que l’internaute peut comprendre facilement à quoi servent les traceurs publicitaires avant de cliquer sur « accepter ». En cas de non-conformité, la CNIL a indiqué qu’un délai de mise en conformité ne devrait pas dépasser six mois, ce qui signifie que les sites internet doivent rapidement adapter leurs pratiques pour respecter la réglementation.

Quelles pratiques trompeuses la CNIL a-t-elle observées ?

La CNIL a constaté plusieurs pratiques trompeuses dans les bandeaux de recueil du consentement. Parmi celles-ci, on trouve la difficulté à refuser les cookies, où l’option de refus est moins visible que celle d’acceptation. De plus, la confusion entre les options, le manque de clarté de l’option de refus, et la réitération excessive de l’option d’acceptation sont également des problèmes identifiés. Ces pratiques peuvent induire les utilisateurs en erreur et les inciter à accepter les cookies sans une véritable compréhension de leur choix.

Quelles mesures la CNIL a-t-elle prises suite à ces observations ?

À la suite de l’analyse des plaintes, la Présidente de la CNIL a mis en demeure plusieurs éditeurs de sites web. Ces éditeurs ont été invités à modifier leurs bandeaux de recueil du consentement dans un délai d’un mois pour garantir que le consentement des internautes soit valide et conforme à la réglementation. Cette mise en demeure souligne l’engagement de la CNIL à protéger les droits des utilisateurs en matière de données personnelles et à assurer la conformité des pratiques des sites web.

Pourquoi est-il important de respecter le RGPD et la directive ePrivacy ?

Le respect du RGPD et de la directive ePrivacy est crucial pour garantir la protection des données personnelles des utilisateurs. Ces régulations imposent une transparence totale dans l’information donnée aux utilisateurs et un contrôle total sur leurs choix concernant l’acceptation ou le refus des cookies. En veillant à la conformité avec ces exigences, les acteurs concernés, qu’ils soient éditeurs de sites web ou entreprises gérant des cookies, contribuent à renforcer la confiance des utilisateurs dans l’utilisation des services en ligne.

Quels types de cookies nécessitent le consentement préalable des utilisateurs ?

Tous les cookies qui n’ont pas pour finalité exclusive de permettre ou faciliter une communication par voie électronique nécessitent le consentement préalable des utilisateurs. Cela inclut notamment les cookies liés aux opérations de publicité personnalisée et ceux des réseaux sociaux, comme ceux générés par les boutons de partage. En revanche, certains traceurs, comme ceux conservant le choix exprimé par les utilisateurs ou ceux destinés à l’authentification, ne nécessitent pas de consentement préalable.

Comment doit-on recueillir valablement le consentement des utilisateurs ?

Le consentement doit se manifester par une action positive de l’utilisateur, qui doit être préalablement informé des conséquences de son choix. Il est essentiel que les utilisateurs disposent des moyens d’accepter, de refuser et de retirer leur consentement de manière simple. Il est important de noter que l’acceptation des conditions générales d’utilisation ne peut pas être considérée comme une modalité valable de recueil du consentement.

Quelles sont les conditions pour que le consentement soit valide ?

Pour que le consentement soit valide, il doit être libre, spécifique, univoque et éclairé. L’information donnée à l’internaute doit être visible, mise en évidence et complète, rédigée en termes simples et compréhensibles. Les utilisateurs doivent être parfaitement informés des différentes finalités des cookies et de l’identité des responsables du traitement, ce qui peut être réalisé par un système à deux niveaux d’information.

Comment prouver que le consentement a été recueilli ?

Chaque acteur se prévalant du consentement doit être en mesure d’en apporter la preuve. Cela peut être fait par plusieurs moyens, tels que la mise sous séquestre du code informatique utilisé pour recueillir le consentement, des captures d’écran horodatées du rendu visuel affiché, ou des audits réguliers des mécanismes de recueil du consentement. Ces mesures garantissent la transparence et la responsabilité des pratiques de collecte de consentement sur les sites web.