Publication du rapport d’activité 2019 de la CNIL : quel bilan sur les cookies et autres traceurs ?

1617
Imprimer

Début juin 2020, la CNIL a publié son rapport d’activité de l’année 2019. Outre la mention des faits marquants de l’année, la Commission revient sur son plan d’action relatif aux cookies en vue d’accompagner les professionnels et internautes. Quels sont les enjeux sur le sujet ? Qu’attendre pour l’année 2020 ? La Commission s’exprime.

Un cookie est défini par la CNIL comme « un petit fichier envoyé par les sites web visités à un utilisateur et stocké sur le terminal utilisé pour la navigation. Il permet de conserver un état, c’est-à-dire une mémoire des évènements antérieurs comme une authentification à un site ou la constitution d’un panier d’achat ». Certains cookies peuvent alors contenir des données personnelles et en raison de cela, l’article 82 de la loi Informatique et Libertés impose que l’utilisateur consente « avant toute opération d’écriture ou de lecture d’un cookie sur un terminal, à l’exception des cas dans lesquels le cookie est strictement nécessaire au fonctionnement du service en ligne auquel l’utilisateur veut accéder ». Il faut donc distinguer les cookies nécessaires et non nécessaires.

Dans l’analyse publiée, la CNIL rappelle son rôle d’assistance des internautes et d’accompagnement des acteurs du numérique dans leur mise en conformité. Elle apporte également un bref historique de son action relative aux cookies depuis 1994 jusqu’à 2018. Ensuite, quatre points sont développés par l’autorité.

Premièrement, la CNIL explique l’adoption de la directive e-privacy en 2002 puis celle du règlement général de la protection des données (RGPD), entré en vigueur en 2018. Ces textes résultent de la nécessité « d’encadrer la technologie potentiellement très intrusive des cookies ».

La directive a vocation à préciser le cadre général applicable au traitement des données personnelles en établissant des règles, par exemple sur les pratiques de prospection commerciale en ligne, les opérations de suivi de navigation et les traitements de données réalisés par des opérateurs de télécommunications. Elle a été révisée en 2009 afin d’imposer le recueil du consentement préalable à toute opération consistant à inscrire ou à accéder à des informations stockées dans les appareils connectés, et comme le précise la CNIL en particulier le dépôt ou la lecture de cookies ou autres traceurs. Une proposition de révision de la directive a été déposée en 2017.

Elle rappelle aussi le caractère complémentaire de la directive e-privacy et du RGPD. Ce dernier se fonde sur l’article 8 de la Charte des droits fondamentaux de l’Union européenne sur la protection des données à caractère personnel tandis que la directive ePrivacy se fonde sur son article 7 sur le respect de la vie privée et familiale et vise particulièrement l’usage des cookies.

Deuxièmement, la CNIL communique sur ses moyens d’action pour faire appliquer les règles édictées par ces deux textes en France et explique qu’elle a choisi de faire du ciblage publicitaire une priorité en 2019 selon plusieurs motifs :

  • Caractère massif et intrusif de cette pratique pour laquelle les inquiétudes et attentes sont nombreuses ;
  • Modification des exigences sur les modalités de recueil du consentement depuis le RGPD ;
  • Nombreuses plaintes sur le ciblage publicitaire au moyen de cookies ;
  • Volonté des professionnels de mieux comprendre leurs obligations ;
  • Implication d’autres autorités européennes de protection des données.

Afin de répondre à ces problématiques, la CNIL a mis en place en 2019 un plan d’action comprenant plusieurs étapes :

  • La première consistait en la publication de lignes directrices en juillet 2019 afin de préciser le renforcement de la protection juridique accordée aux utilisateurs en matière de cookies depuis l’entrée en vigueur du RGPD. Comme le souligne le dossier de presse relatif au rapport d’activité, deux nouveautés principales ressortent des lignes directrices. En premier lieu, la poursuite de la navigation sur un site ne peut plus être considérée comme un consentement valide au dépôt de cookies. En second lieu, les opérateurs sont dans l’obligation de justifier que le consentement a bien été recueilli. Dans une décision du 19 juin 2020, le Conseil d’Etat a validé la portée de ces lignes directrices. Cependant, le Conseil d’Etat a décidé que la CNIL avait outrepassé ses droits en interdisant de façon générale et absolue la pratique des « cookie walls »[1] au motif qu’une telle interdiction ne peut résulter d’un acte de droit souple. Par conséquent, les lignes directrices devront être ajustées sur ce point.
  • La deuxième étape correspondait à l’élaboration d’une recommandation sur les modalités de recueil de consentement. Pour cela, la CNIL s’est concertée avec des organisations représentatives des professionnels et de la société civile. Le projet de recommandation est sorti en décembre 2019 et en janvier 2020, une consultation publique a été mise en place sur ce projet. Une approche progressive a alors été adoptée puisque la CNIL a décidé de laisser une période d’une durée égale à 6 mois à compter de la publication de la recommandation aux opérateurs afin qu’ils s’y adaptent. Ce n’est qu’à l’issue de de délai que la CNIL démarrera ses investigations. Cette approche progressive a été validée le 16 octobre 2019 par le Conseil d’Etat.

L’un des objectifs principaux de la CNIL est de répondre aux préoccupations des citoyens, devenues plus nombreuses depuis la mise en œuvre du RGPD qui a mis en exergue les problématiques relatives à la protection des données personnelles. Selon un sondage IFOP[2], 54% des internautes sont plus inquiets qu’auparavant par rapport à la présence de publicité ciblée sur des sites web. La CNIL, quant à elle, note que « les plaintes[3] portant sur les mécanismes de traçage en ligne aux fins de ciblage publicitaire se sont multipliées » depuis 2018 et ajoute que le taux d’internautes français ayant utilisé un bloqueur de publicités sur leur ordinateur a augmenté de 18 points entre 2015 et 2019 (passant de 36% à 54%). En outre, dans un autre sondage IFOP[4] commandé par la CNIL en décembre 2019, on apprend que « 70 % des personnes interrogées estimaient indispensable d’obtenir à chaque fois leur accord, même si cela prend un peu plus de temps dans la navigation sur les sites concernés, avant tout dépôt de traceurs » mais que « 65 % de ces personnes estiment que les demandes d’autorisation de dépôt de cookies actuelles sont inefficaces ». La CNIL, dans son rapport d’activité, souligne alors que « ces sondages dénotent clairement une prise de conscience massive ainsi qu’une aspiration collective à plus de transparence et de maîtrise des pratiques de traçage en ligne ».

Par ailleurs, la CNIL a vocation à sensibiliser le public et faciliter sa compréhension des enjeux de la pro-tection des données. Or, dans son rapport d’activité, la CNIL exprime l’idée selon laquelle il existe une asymétrie d’information particulièrement importante dans l’usage des cookies. Aujourd’hui, ils sont connus auprès du public, cependant l’ampleur de leur utilisation ne l’est pas toujours. La CNIL rappelle alors l’existence de l’outil CookieViz permettant de mesurer l’impact des cookies et autres traceurs pendant la navigation, développé en 2013 et mis à jour récemment « afin d’en faciliter l’utilisation et de lui apporter de nouvelles fonctionnalités ».

Afin d’encourager la mise en conformité des entreprises et organismes publics, d’autres outils ont été développés par la CNIL. Dans son rapport d’activité, elle cite comme exemples l’outil PIA permettant de faciliter la résiliation des analyses d’impact relatives à la protection des données ainsi que le guide RGPD. Avec la publication de la recommandation sur les cookies et autres traceurs sus-mentionnée, d’autres outils de mise en conformité devraient voir le jour, notamment pour limiter au maximum l’usage des traceurs ou pour recueillir un consentement respectueux pratiques.

La CNIL dispose également de pouvoirs de contrôle a posteriori dans ses moyens d’action. Le rapport d’activité mentionne, à ce sujet, deux temps pour les actions menées entre 2019 et 2020. En premier lieu, la CNIL a mené des investigations dès la fin de 2019 sur le respect des principes en vigueur depuis la révision de la directive ePrivacy en 2019 et principalement sur le « caractère préalable du consentement au dépôt de traceurs, l’information adéquate de l’utilisateur ou encore la possibilité pour celui-ci de retirer effectivement son consentement ». Le cas échéant, l’autorité de contrôle pourra mettre en place des mesures correctrices afin de mettre un terme à des manquements alors même que « les obligations sont claires depuis plusieurs années ». En second lieu, la CNIL a prévu de mener de nouvelles opérations de contrôle lorsque la période d’adaptation de six mois susmentionnée sera terminée. Ces contrôles seront alors plus larges et porteront sur « le respect plein et entier des obligations de la loi Informatique et Libertés, y compris des nouveautés résultant de l’entrée en application du RGPD, en matière de traceurs et cookies, telles qu’éclairées par cette recommandation ».

Troisièmement, la CNIL souligne que les règles sont les mêmes pour tous c’est-à-dire pour les petits comme pour les grands acteurs. Pour cela, elle rappelle que tous les acteurs doivent recueillir un consentement valable pour les traceurs et ce même si certains acteurs ont une relation antérieure avec l’utilisateur, qu’ainsi les géants du numérique ne sont pas favorisés par rapport aux petits. Par ailleurs, l’autorité ajoute dans son rapport que le consentement doit être recueilli pour chacune des finalités, « de façon complètement indépendante d’une éventuelle acceptation de conditions générales d’utilisation du service. Cela signifie donc que les environnements authentifiés seront contrôlés de la même manière que les autres sites web ou applications mobiles, et subiront les mêmes conséquences en cas de non-conformité à la réglementation ». Elle en conclut que la règlementation relative à la protection de la vie privée ne créé pas de situation de concurrence déloyale.

Enfin, l’autorité termine son analyse en énonçant la position des autres états de l’union européenne sur la publicité ciblée. Elle cite alors plusieurs exemples :

  • Selon l’autorité néerlandaise, les « cookies walls » ne sont pas conformes à la règlementation ;
  • D’après l’autorité belge, l’utilisateur devrait consentir finalité par finalité et non pas de façon globale ;
  • Mesures de contrôle et de sanction des autorités bavaroise et hellénique.

Pour conclure, en matière de cookies et autres traceurs, nous sommes en attente de la publication de la recommandation de la CNIL qui devrait intervenir au début de l’automne 2020. Au même moment, la CNIL devrait publier la nouvelle version des lignes directrices prenant en considération la décision du Conseil d’Etat. Ces textes pourraient alors faciliter la bonne compréhension du fonctionnement des cookies par les utilisateurs et aider les professionnels à mieux respecter les obligations issues de la directive ePrivacy et du RGPD.

[1] Pratique consistant à priver d’accès à un site ou service les personnes ne consentant pas au dépôt de traceurs.

[2] « Les Français et la protection des données personnelles », octobre 2019, sondage IFOP pour la CNIL réalisé auprès d’un échantillon de 1 004 personnes représentatif de la population française âgée de 18 ans et plus.

[3] Les plaintes sont souvent déposées dans différents Etats membres. Il en résulte un mécanisme de coopération entre les régulateurs européens.

[4] « Les Français et la réglementation en matière de cookies ».