CNIL, 16 décembre 2024

·

·

, ,
CNIL, 16 décembre 2024
,
Type de juridiction : Conseil d’Etat Juridiction : Conseil d’Etat Thématique : Bandeaux de Cookies trompeurs : mises en demeure de la CNIL

Résumé

Le 16 décembre 2024, la CNIL a reçu plusieurs plaintes concernant des bandeaux de recueil du consentement pour les cookies, jugés trompeurs. Selon la loi Informatique et Libertés et le RGPD, le consentement explicite des utilisateurs est requis avant le dépôt de cookies. La CNIL souligne que le refus des cookies doit être aussi simple que leur acceptation. Des pratiques non-conformes, telles que la difficulté à refuser ou la confusion entre options, ont été observées. En conséquence, plusieurs éditeurs de sites ont été mis en demeure de modifier leurs bandeaux pour garantir un consentement valide et conforme.

Le 16 décembre 2024, la Commission Nationale de l’Informatique et des Libertés (CNIL) a annoncé avoir été saisie de plusieurs plaintes concernant des bandeaux de recueil du consentement pour le dépôt de cookies sur des sites web. Ces bandeaux étaient jugés trompeurs et incitaient les internautes à accepter les cookies de manière ambiguë.

Rappel des obligations légales : consentement préalable pour le dépôt des cookies

Conformément à la loi Informatique et Libertés (article 82) et au Règlement Général sur la Protection des Données (RGPD), les cookies ne peuvent être déposés sur les appareils des utilisateurs qu’après leur consentement explicite. De plus, la loi impose que le processus de refus des cookies soit aussi simple et accessible que celui d’acceptation.

 La CNIL rappelle deux règles fondamentales de protection des internautes. 

  1. Informer

La première règle est que, avant que l’internaute accepte les cookies, le site doit l’informer, de façon claire et synthétique, de ce à quoi ils vont servir: publicité personnalisée ou non, publicité géolocalisée, personnalisation du contenu ou encore partage d’information avec les réseaux sociaux.

  1. Refuser doit être aussi facile que d’accepter

La deuxième est que l’internaute doit pouvoir refuser les cookies aussi facilement qu’il lui est proposé de les accepter, comme l’a récemment jugé le Conseil d’Etat (CE, 19 juin 2020, n° 434684, T.).

La CNIL estime donc que lorsqu’un seul clic est requis pour «accepter les cookies» tandis que plusieurs actions sont nécessaires pour paramétrerun refus, il y a un risque que l’internaute, qui souhaite généralement accéder rapidement au site, soit influencé.

Les conséquences pour les professionnels

En tant que régulateur, la CNIL demande aux sites internet de respecter ces règles. Les professionnels et les éditeurs de sites internet doivent donc s’interroger : l’internaute peut-il, en quelques mots simples, comprendre à quoi servent les traceurs publicitaires avant de cliquer sur «accepter»? Peut-il refuser facilement ou doit-il passer par un paramétrage complexe et donc dissuasif?

Pour ces nouvelles règles, la CNIL estime que le délai de mise en conformité des acteurs concernés et donc,des sites internet, ne devrait pas dépasser six mois, soit fin mars 2021 au plus tard.

Les pratiques trompeuses observées par la CNIL

La CNIL a constaté que certains bandeaux de recueil du consentement ne respectaient pas ces exigences, induisant en erreur les utilisateurs. Concrètement, les pratiques non-conformes observées incluent :

  1. Difficulté à refuser les cookies : L’option permettant de refuser les cookies était moins visible ou moins accessible que l’option d’acceptation. Par exemple, le lien de refus était cliquable, mais sa présentation visuelle (couleur, taille de la police) le rendait moins attractif et moins accessible que le bouton d’acceptation.
  2. Confusion entre les options : L’option de refus était parfois mélangée avec d’autres informations dans le bandeau, sans suffisamment de séparation visuelle. Cela rendait l’option de refus difficile à discerner par rapport aux autres éléments du texte.
  3. Manque de clarté de l’option de refus : Dans certains cas, l’option de refus était exprimée de manière floue, avec des termes comme « je décline les finalités non essentielles », ce qui ne permettait pas aux utilisateurs de comprendre clairement qu’ils refusaient les cookies.
  4. Réitération excessive de l’option d’acceptation : L’option d’acceptation des cookies était parfois présentée plusieurs fois dans le bandeau, alors que l’option de refus n’apparaissait qu’une seule fois et avec moins de visibilité.

La mise en demeure de la CNIL

À la suite de l’analyse de ces plaintes, la Présidente de la CNIL a estimé que ces bandeaux constituaient un manquement aux dispositions de la loi Informatique et Libertés (article 82), et a mis en demeure plusieurs éditeurs de sites web. Ceux-ci ont été invités à modifier leurs bandeaux de recueil du consentement dans un délai d’un mois afin de garantir que le consentement des internautes soit valable et conforme à la réglementation.

L’importance de la conformité avec le RGPD et la directive ePrivacy

La CNIL a également rappelé que tous les acteurs concernés, qu’ils soient éditeurs de sites web ou entreprises gérant des cookies, doivent veiller à la conformité de leurs pratiques avec les exigences du RGPD et de la directive ePrivacy. Ces régulations imposent une transparence totale dans l’information donnée aux utilisateurs et un contrôle total sur les choix qu’ils font concernant l’acceptation ou le refus des cookies.

Cookies : les questions réponses de la CNIL

Quels cookies nécessitent le consentement préalable des utilisateurs ?

Tous les cookies n’ayant pas pour finalité exclusive de permettre ou faciliter une communication par voie électroniqueou n’étant passtrictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateurnécessitent le consentement préalable de l’internaute. Parmi les cookiesnécessitant une information préalable et le recueil préalable du consentement de l’utilisateur, on peut notammentciter :

  • les cookies liés aux opérations relatives à la publicité personnalisée ;
  • les cookies des réseaux sociaux, notamment générés par leurs boutons de partage.

En ce qui concerne les traceurs non soumis au consentement, on peut évoquer:

  • les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
  • les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
  • les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer, à l’utilisateur, le(s) produit(s) et/ou service(s) acheté(s) ;
  • les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
  • les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
  • les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
  • certains traceurs d’audience dès lors qu’ils respectent certaines conditions.

Comment recueillir valablement le consentement ?

Le consentement doit se manifester parune action positive de la personne préalablement informée, notamment, des conséquences de son choix et disposant des moyens d’accepter, de refuser et de retirer son consentement. Des systèmes adaptés doivent donc être mis en place pour recueillir le consentement selon des modalités pratiques qui permettent aux internautes de bénéficier de solutions simples d’usage.

L’acceptation de conditions générales d’utilisation ne peut être une modalité valable de recueil du consentement.

Le consentement doit être préalable au dépôt et/ou à la lecture de cookies.

  • Tant que la personne n’a pas donné son consentement, les cookies ne peuvent pas être déposés ou lus sur son terminal.
  • Il doit être requis à chaque fois qu’une nouvelle finalité nécessitant le consentement vient s’ajouter aux finalités initialement prévues.

Le consentement est une manifestation de volonté, libre, spécifique, univoque et éclairée

Concernant l’information donnée à l’internaute :

  • Elle doit être visible, mise en évidence et complète.
  • Elle doit être rédigée en des termes simples et compréhensibles par tout utilisateur.
  • Elle doit permettre aux internautes d’être parfaitement informés notamment s’agissant des différentes finalités des cookies et de l’identité des responsables du ou des traitements.
  • Afin de concilier concision et précision de l’information, il est possible d’avoir deux niveaux d’information : par exemple, un premier niveau peut brièvement décrire chaque finalité de traitement, tandis qu’un second niveau viendrait fournir plus de détails sur ces finalités et sur la liste des responsables du ou des traitements.

Le consentement n’est valide que si la personne exerce un choix réel.

  • L’utilisateur doit pouvoir accepter ou refuser le dépôt et/ou la lecture des cookies avec le même degré de simplicité.
  • Aux termes du considérant 42 du RGPD, qui éclaire l’exigence de liberté du consentement posée par son article 4, « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».  
  • Par ailleurs, la CNIL recommande que ce choix soit effectué sur chacun des sites ou applications concernés par le suivi de navigation.

Le consentement doit pouvoir être retiré simplement et à tout moment par l’utilisateur.

  • Il doit être aussi simple de retirer son consentement que de le donner.
  • Des solutions permettant aux utilisateurs de retirer leur consentement doivent être mises à la disposition de l’utilisateur. Elles doivent être accessibles à tout moment.

Comment prouver que l’on a bien recueilli le consentement ?

Chaque acteur se prévalant du consentement doit être en mesure d’en apporter la preuve. Il peut pour cela utiliser les modalités suivantes, non exclusives :

  • Une mise sous séquestre auprès d’un tiers du code informatique utilisé par l’organisme recueillant le consentement, pour les différentes versions de son site ou de son application mobile, voire simplement par la publication horodatée sur une plate-forme publique d’un condensat (ou « hash ») de ce code pour pouvoir prouver son authenticité a posteriori ;
  • Une capture d’écran du rendu visuel affiché sur un terminal mobile ou fixe peut être conservée, de façon horodatée, pour chaque version du site ou de l’application ;
  • Des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre par des tiers mandatés à cette fin ;
  • Les informations relatives aux outils mis en œuvre et à leurs configurations successives (tels que les solutions de recueil du consentement, également connues sous l’appellation CMP « Consent Management Platform ») peuvent être conservées, de façon horodatée, par les tiers éditant ces solutions

Cookies : Documents à télécharger


Lignes directrices de la CNIL « cookies et autres traceurs » (pdf)

Recommandation de la CNIL « cookies et autres traceurs » (pdf)

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

  • Bienvenue, je suis votre assistant juridique
Rédaction en cours .... ...
Chat Icon