L’essentiel : La CNIL a établi de nouvelles règles concernant le consentement des utilisateurs pour l’utilisation des traceurs, en réponse aux délibérations du Conseil d’État. Le consentement doit être obtenu par une action positive, et toute inaction est considérée comme un refus. Les utilisateurs doivent pouvoir accepter ou refuser les cookies de manière claire, avec des options visibles et équivalentes. L’interface de collecte doit être intelligible, et chaque finalité des traceurs doit être clairement expliquée. De plus, les utilisateurs doivent être informés de l’identité des responsables du traitement et avoir la possibilité de retirer leur consentement facilement.

 Par Délibération n° 2020-092 du 17 septembre 2020 et n° 2020-091 du 17 septembre 2020, tenant compte de la position du Conseil d’Etat sur les Cookies wall, la CNIL a fixé ses nouvelles règles en matière de lecture et/ou d’écriture de « traceurs » dans l’équipement terminal de communications électroniques de l’abonné ou de l’utilisateur.

A noter que les recommandations qui ont pour seul objectif d’aider les professionnels concernés dans leur démarche de mise en conformité, ne sont pas exclusives : d’autres méthodes de recueil du consentement peuvent être utilisées par les professionnels, dès lors qu’elles permettent d’obtenir un consentement éclairé de l’internaute. Les principes recommandés peuvent aussi être utilisés pour la télévision connectée, les consoles de jeux vidéo, les assistants vocaux, les objets communicants, les véhicules connectés, etc.

Modalités pratiques d’acceptation des traceurs

Le consentement de l’internaute suppose une action d’acceptation des cookies. Toute inaction ou action des utilisateurs autre qu’un acte positif signifiant son consentement est interprété comme un refus de consentir ; dans ce cas, aucune opération de lecture ou d’écriture soumise au consentement ne peut légalement avoir lieu.

Une demande de consentement effectuée au moyen de cases à cocher, décochées par défaut, est facilement compréhensible par les utilisateurs. Le responsable du ou des traitements peut également avoir recours à des interrupteurs (« sliders »), désactivés par défaut, si le choix exprimé par les utilisateurs est aisément identifiable.

La CNIL recommande de demander aux utilisateurs leur consentement de façon indépendante et spécifique pour chaque finalité distincte, mais cela ne fait pas obstacle à la possibilité de proposer aux utilisateurs de consentir de manière globale à un ensemble de finalités, sous réserve de présenter, au préalable, aux utilisateurs l’ensemble des finalités poursuivies.

Il est possible de proposer des boutons d’acceptation et de refus globaux au stade du premier niveau d’information, via par exemple la présentation de boutons intitulés « tout accepter » et « tout refuser », « j’autorise » et « je n’autorise pas », « j’accepte tout » et « je n’accepte rien » et permettant de consentir ou de refuser, en une seule action, à plusieurs finalités.

Clarté de l’interface de collecte

L’interface de collecte (bandeau ou autres) doit être claire et ne pas induire en erreur les utilisateurs tant au travers du design choisi que de l’information délivrée. Les interfaces standardisées sont encouragées.

Information de premier niveau sur les finalités des traceurs

L’information sur les finalités des traceurs doit être formulée de manière intelligible, dans un langage adapté et suffisamment clair pour permettre aux utilisateurs de comprendre précisément ce à quoi ils consentent. Chaque finalité doit être mise en exergue dans un intitulé court et mis en évidence, accompagné d’un bref descriptif.

Exemples:

– si le ou les traceurs sont utilisés afin d’afficher de la publicité personnalisée, cette finalité peut être décrite de la manière suivante : « Publicité personnalisée : [nom du site / de l’application] [et des sociétés tierces / nos partenaires] utilise / utilisent des traceurs afin d’afficher de la publicité personnalisée en fonction de votre navigation et de votre profil » ;

– si le ou les traceurs ne sont utilisés que pour mesurer l’audience de la publicité affichée, sans la sélectionner sur la base de données à caractère personnel, le responsable du traitement peut utiliser la formulation suivante : « Publicité non personnalisée : [nom du site / de l’application] [et des sociétés tierces / nos partenaires] utilise / utilisent des traceurs dans le but de mesurer l’audience de la publicité [sur le site ou l’application], sans vous profiler » ;

– si la publicité est adaptée en fonction de la géolocalisation précise, cette finalité peut être décrite de la manière suivante : « Publicité géolocalisée : [nom du site / de l’application] [et des sociétés tierces/ nos partenaires] utilise / utilisent des traceurs pour vous adresser de la publicité en fonction de votre localisation » ;

– si les traceurs sont utilisés pour personnaliser le contenu éditorial ou les produits et services fournis affichés par l’éditeur, les formulations suivantes pourraient être affichées : « Personnalisation de contenu : Notre site / application [et des sociétés tierces] utilise / utilisons des traceurs pour personnaliser le contenu éditorial [de notre site / application] en fonction de votre utilisation », ou « Notre site / application [et des sociétés tierces] utilise / utilisons des traceurs pour personnaliser l’affichage de nos produits et services en fonction de ceux que vous avez précédemment consultés [sur notre site / application] ») ;

– si les traceurs sont utilisés afin de partager des données sur les réseaux sociaux, leur finalité peut être décrite de la manière suivante : « Partage sur les réseaux sociaux : Notre site / application utilise des traceurs pour vous permettre de partager du contenu sur les réseaux sociaux ou plateformes présents [sur notre site / application] ».

Pour les réseaux sociaux, l’information et le recueil du consentement peuvent apparaitre lorsque les utilisateurs décident de déclencher la fonctionnalité de partage.

Information de second niveau sur les finalités des traceurs

En complément de la liste des finalités, une description plus détaillée de ces finalités, de manière aisément accessible doit être mise en place(bouton de déroulement …).

Le contenu de cette information additionnelle peut, par exemple, venir préciser que l’affichage de la publicité englobe différentes opérations techniques concourant à la même finalité. Exemples: informations sur le plafonnement de l’affichage (parfois appelé « capping publicitaire », consistant à ne pas présenter à un utilisateur une même publicité de manière trop répétitive), la lutte contre la « fraude au clic » (détection d’éditeurs prétendant réaliser une audience publicitaire supérieure à la réalité), la facturation de la prestation d’affichage, la mesure des cibles ayant plus d’appétences à la publicité pour mieux comprendre l’audience, etc.

Information concernant l’identité du ou des responsables du traitement

Les utilisateurs doivent pouvoir prendre connaissance de l’identité de l’ensemble des responsables du ou des traitements, y compris les responsables de traitement conjoints, avant de donner leur consentement ou de refuser.

La liste exhaustive et régulièrement mise à jour des responsables du ou des traitements doit être mise à la disposition des utilisateurs au moment du recueil de leur consentement (second niveau d’information en accès permanent). La CNIL recommande d’utiliser une dénomination descriptive et utilisant des termes clairs, telle que « liste des sociétés utilisant des traceurs sur notre site / application ».

Les modalités du refus

Le refus des traceurs doit être accessible sur le même écran et avec la même facilité que leur acceptation.

Par exemple, au stade du premier niveau d’information, les utilisateurs peuvent avoir le choix entre deux boutons présentés au même niveau et sur le même format, sur lesquels sont inscrits respectivement « tout accepter » et « tout refuser », « autoriser » et « interdire », ou « consentir » et « ne pas consentir », ou toute autre formulation équivalente et suffisamment claire. La simple fermeture de la fenêtre de recueil du consentement ne doit pas être considérée comme une acceptation des traceurs. L’option de refus ne doit pas non plus être visuellement moins mise en valeur que l’acceptation.

Conservation des choix du visiteur

Le choix exprimé par les utilisateurs, qu’il s’agisse d’un consentement ou d’un refus, doit être enregistré de manière à ne pas les solliciter à nouveau pendant un certain laps de temps. La durée de conservation de ces choix sera appréciée au cas par cas, au regard de la nature du site ou de l’application concernée et des spécificités de son audience. La durée de validité du consentement choisi par le responsable du traitement doit tenir compte du contexte, de la portée du consentement initial et des attentes des utilisateurs.

Conserver ces choix (tant le consentement que le refus) pendant une durée de 6 mois constitue une bonne pratique de la part des éditeurs.

Retrait et gestion du consentement

La CNIL recommande que les solutions permettant aux utilisateurs de retirer leur consentement soient aisément accessibles à tout moment. La simplicité de l’accès peut notamment se mesurer au temps passé et au nombre d’actions nécessaires pour effectivement retirer le consentement.

La possibilité de retirer son consentement peut par exemple être offerte via un lien accessible à tout moment depuis le service concerné. Il est recommandé d’utiliser une dénomination descriptive et intuitive telle que « module de gestion des cookies » ou « gérer mes cookies » ou bien « cookies », etc. L’éditeur d’un site web peut également fournir aux utilisateurs un module de paramétrage accessible sur toutes les pages du site au moyen d’une icône « cookie », située par exemple en bas à gauche de l’écran, leur permettant d’accéder au mécanisme de gestion et de retrait de leur consentement.

En tout état de cause, la Commission recommande que le mécanisme permettant de gérer et de retirer son consentement soit placé dans une zone qui attire l’attention des utilisateurs ou dans des zones où ils s’attendent à le trouver, et que les visuels utilisés soient les plus explicites possibles.

Preuve du consentement

Les responsables du ou des traitements doivent être en mesure de démontrer, à tout moment, que les utilisateurs ont donné leur consentement. S’agissant de la preuve de validité du consentement, la CNIL recommande notamment les modalités suivantes, non exclusives :

– les différentes versions du code informatique utilisé par l’organisme recueillant le consentement peuvent être mises sous séquestre auprès d’un tiers, ou, plus simplement, un condensat (ou « hash ») de ce code peut être publié de façon horodatée sur une plate-forme publique, pour pouvoir prouver son authenticité a posteriori ;

– une capture d’écran du rendu visuel affiché sur un terminal mobile ou fixe peut être conservée, de façon horodatée, pour chaque version du site ou de l’application ;

– des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre par des tiers mandatés à cette fin ;

– les informations relatives aux outils mis en œuvre et à leurs configurations successives (tels que les solutions de recueil du consentement, également connues sous l’appellation CMP, pour « Consent Management Plateform ») peuvent être conservées, de façon horodatée, par les tiers éditant ces solutions.

Traceurs exemptés du recueil du consentement (Analytics et autres)

Pour rappel, l’article 82 de la loi « Informatique et Libertés » n’impose pas d’informer les utilisateurs sur l’existence d’opérations de lecture et écriture non soumises au consentement préalable. Par exemple, l’usage par un site web d’un cookie de préférence linguistique stockant uniquement une valeur indiquant la langue préférée de l’utilisateur est susceptible d’être couvert par l’exemption et ne constitue pas un traitement de données à caractère personnel soumis au RGPD. Toutefois, afin d’assurer une transparence pleine et entière sur ces opérations, la Commission recommande que les utilisateurs soient également informés de l’existence de ces traceurs et de leurs finalités en intégrant, par exemple, une mention les concernant dans la politique de confidentialité.

S’agissant, plus spécifiquement, des traceurs de mesure d’audience exemptés du recueil du consentement, la CNIL recommande que :

– les utilisateurs soient informés de la mise en œuvre de ces traceurs, par exemple via la politique de confidentialité du site ou de l’application mobile ;

– la durée de vie des traceurs soit limitée à une durée permettant une comparaison pertinente des audiences dans le temps, comme c’est le cas d’une durée de treize mois, et qu’elle ne soit pas prorogée automatiquement lors des nouvelles visites ;

– les informations collectées par l’intermédiaire de ces traceurs soient conservées pour une durée maximale de vingt-cinq mois ;

– les durées de vie et de conservation ci-dessus mentionnées fassent l’objet d’un examen périodique.

Ces traceurs exemptés du recueil du consentement ne devraient être utilisés que pour une seule et même finalité et le recours à des techniques de masquage de l’identité de l’entité utilisant des traceurs, telles que la délégation de sous-domaine, serait à proscrire.

La Commission recommande également que les noms des traceurs utilisés soient explicites et, dans la mesure du possible, uniformisés quel que soit l’acteur à l’origine de leur émission.

Enfin, la Commission encourage les professionnels à nommer le traceur permettant de stocker le choix des utilisateurs « eu-consent », en attachant à chaque finalité une valeur booléenne « vrai » ou « faux » mémorisant les choix effectués.

Q/R juridiques soulevées :

Quelles sont les nouvelles règles de la CNIL concernant les traceurs ?

Les nouvelles règles de la CNIL, établies par les délibérations n° 2020-092 et n° 2020-091, visent à encadrer la lecture et l’écriture des traceurs dans les équipements des utilisateurs. Ces règles prennent en compte la position du Conseil d’Etat sur les « Cookies wall », qui sont des dispositifs demandant le consentement des utilisateurs pour l’utilisation de cookies.

Ces recommandations ont pour but d’aider les professionnels à se conformer à la législation en matière de protection des données. Elles ne sont pas exclusives, ce qui signifie que d’autres méthodes de recueil du consentement peuvent être envisagées, tant qu’elles garantissent un consentement éclairé de l’internaute.

Les principes énoncés s’appliquent également à divers dispositifs connectés, tels que les télévisions, les consoles de jeux, et même les véhicules connectés, élargissant ainsi le champ d’application des règles de consentement.

Comment les utilisateurs peuvent-ils donner leur consentement pour les traceurs ?

Le consentement des utilisateurs pour l’utilisation des traceurs doit être obtenu par une action positive, comme cocher une case ou activer un interrupteur. Toute inaction ou action qui ne manifeste pas clairement le consentement est considérée comme un refus.

La CNIL recommande que les cases à cocher soient décochées par défaut, ce qui facilite la compréhension pour les utilisateurs. De plus, des interrupteurs désactivés par défaut peuvent également être utilisés, à condition que le choix des utilisateurs soit clairement identifiable.

Il est conseillé de demander le consentement de manière indépendante pour chaque finalité, mais il est également possible de proposer un consentement global pour plusieurs finalités, à condition que toutes les finalités soient clairement présentées aux utilisateurs au préalable.

Quelles sont les exigences concernant l’interface de collecte des consentements ?

L’interface de collecte des consentements, qu’il s’agisse d’un bandeau ou d’autres formats, doit être claire et ne pas induire en erreur les utilisateurs. La CNIL encourage l’utilisation d’interfaces standardisées pour garantir une meilleure compréhension.

Les informations doivent être présentées de manière intelligible, avec un langage adapté et suffisamment clair pour que les utilisateurs comprennent ce à quoi ils consentent. Chaque finalité d’utilisation des traceurs doit être mise en avant avec un intitulé court et un descriptif concis.

Cela permet aux utilisateurs de prendre des décisions éclairées concernant leur consentement, en sachant exactement comment leurs données seront utilisées.

Comment les utilisateurs sont-ils informés des finalités des traceurs ?

Les utilisateurs doivent recevoir des informations claires et intelligibles sur les finalités des traceurs. Chaque finalité doit être présentée avec un intitulé court et un descriptif qui explique précisément l’utilisation des traceurs.

Par exemple, si des traceurs sont utilisés pour afficher de la publicité personnalisée, cela doit être clairement indiqué. Des formulations spécifiques doivent être utilisées pour chaque type de traceur, comme pour la publicité non personnalisée ou la géolocalisation.

Cette transparence est essentielle pour que les utilisateurs puissent comprendre et évaluer les implications de leur consentement.

Quelles informations supplémentaires doivent être fournies concernant les traceurs ?

En plus des informations de premier niveau, une description plus détaillée des finalités des traceurs doit être accessible aux utilisateurs. Cela peut inclure des informations sur des opérations techniques spécifiques, comme le plafonnement de l’affichage publicitaire ou la lutte contre la fraude au clic.

Cette information additionnelle doit être facilement accessible, par exemple via un bouton de déroulement, afin que les utilisateurs puissent approfondir leur compréhension des finalités des traceurs.

Cela contribue à une meilleure transparence et aide les utilisateurs à prendre des décisions éclairées concernant leur consentement.

Comment les utilisateurs peuvent-ils connaître l’identité des responsables du traitement ?

Les utilisateurs doivent être informés de l’identité de tous les responsables du traitement des données avant de donner leur consentement. Cela inclut les responsables de traitement conjoints.

La CNIL recommande de fournir une liste exhaustive et régulièrement mise à jour des responsables, accessible au moment du recueil du consentement. Cette liste doit être présentée de manière claire, par exemple sous la forme d’une dénomination descriptive comme « liste des sociétés utilisant des traceurs sur notre site ».

Cela permet aux utilisateurs de savoir qui est responsable de l’utilisation de leurs données et de prendre des décisions éclairées.

Quelles sont les modalités de refus des traceurs ?

Le refus des traceurs doit être aussi accessible que leur acceptation. Les utilisateurs doivent avoir la possibilité de refuser les traceurs avec la même facilité que celle d’accepter, par exemple en présentant des boutons « tout accepter » et « tout refuser » sur le même écran.

La simple fermeture de la fenêtre de recueil du consentement ne doit pas être interprétée comme une acceptation. De plus, l’option de refus ne doit pas être moins mise en valeur que celle d’acceptation.

Cela garantit que les utilisateurs peuvent exercer leur droit de refus sans ambiguïté.

Comment les choix des utilisateurs concernant le consentement sont-ils conservés ?

Les choix des utilisateurs, qu’il s’agisse d’un consentement ou d’un refus, doivent être enregistrés pour éviter de les solliciter à nouveau pendant un certain temps. La durée de conservation de ces choix doit être évaluée en fonction de la nature du site ou de l’application.

La CNIL recommande de conserver ces choix pendant une durée de six mois, ce qui est considéré comme une bonne pratique. Cela permet de respecter les préférences des utilisateurs sans les déranger inutilement.

Cette approche contribue à une meilleure expérience utilisateur tout en respectant les exigences légales.

Comment les utilisateurs peuvent-ils retirer leur consentement ?

La CNIL recommande que les solutions permettant aux utilisateurs de retirer leur consentement soient facilement accessibles à tout moment. Cela peut se faire via un lien ou un module de gestion des cookies, accessible depuis n’importe quelle page du site.

Il est conseillé d’utiliser des dénominations descriptives et intuitives, comme « gérer mes cookies », pour faciliter la compréhension.

Le mécanisme de retrait doit être placé dans une zone visible et attendue par les utilisateurs, afin qu’ils puissent facilement trouver comment gérer leur consentement.

Comment les responsables du traitement peuvent-ils prouver le consentement ?

Les responsables du traitement doivent être en mesure de prouver que les utilisateurs ont donné leur consentement. La CNIL recommande plusieurs méthodes pour cela, telles que la conservation de versions du code informatique utilisé pour recueillir le consentement ou des captures d’écran horodatées.

Des audits réguliers des mécanismes de recueil du consentement peuvent également être réalisés par des tiers pour garantir la conformité.

Ces mesures assurent que les responsables du traitement peuvent démontrer la validité du consentement à tout moment, renforçant ainsi la transparence et la confiance des utilisateurs.

Quels traceurs sont exemptés du recueil du consentement ?

Certains traceurs, comme ceux utilisés pour stocker des préférences linguistiques, ne nécessitent pas de consentement préalable selon l’article 82 de la loi « Informatique et Libertés ». Cependant, la CNIL recommande d’informer les utilisateurs de l’existence de ces traceurs et de leurs finalités.

Pour les traceurs de mesure d’audience exemptés, il est conseillé d’informer les utilisateurs via la politique de confidentialité et de limiter la durée de vie de ces traceurs à treize mois.

Ces recommandations visent à garantir la transparence tout en respectant les exigences légales concernant la protection des données.