COOKIES
Selon le CNIL, les termes de « cookie » ou « traceur » recouvrent par exemple :
- les cookies HTTP,
- les cookies « flash »,
- le résultat du calcul d’une empreinte unique du terminal dans le cas du « fingerprinting » (calcul d’un identifiant unique du terminal basée sur des éléments de sa configuration à des fins de traçage),
- les pixels invisibles ou « web bugs »,
- tout autre identifiant généré par un logiciel ou un système d’exploitation (numéro de série, adresse MAC, identifiant unique de terminal (IDFV), ou tout ensemble de données qui servent à calculer une empreinte unique du terminal (par exemple via une méthode de « fingerprinting »).
Ils peuvent être déposés et/ou lus, par exemple lors de la consultation d’un site web, d’une application mobile, ou encore de l’installation ou de l’utilisation d’un logiciel et ce, quel que soit le type de terminal utilisé : ordinateur, smartphone, tablette numérique ou console de jeux vidéo connectée à internet.
L’article 5(3) de la directive 2002/58/CE modifiée en 2009 pose le principe :
- d’un consentement préalable de l’utilisateur avant le stockage d’informations sur son terminal ou l’accès à des informations déjà stockées sur celui-ci ;
- sauf si ces actions sont strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ou ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique.
L’article 82 de la loi Informatique et Libertés transpose ces dispositions en droit français.
La CNIL rappelle que le consentement prévu par ces dispositions renvoie à la définition et aux conditions prévues aux articles 4(11) et 7 du RGPD. Il doit donc être libre, spécifique, éclairé, univoque et l’utilisateur doit être en mesure de le retirer, à tout moment, avec la même simplicité qu’il l’a accordé.
Afin de rappeler et d’expliciter le droit applicable au dépôt et à la lecture de traceurs dans le terminal de l’utilisateur, la CNIL a adopté le 17 septembre 2020 des lignes directrices, complétées par une recommandation visant notamment à proposer des exemples de modalités pratiques de recueil du consentement.
L’acceptation de conditions générales d’utilisation ne peut être une modalité valable de recueil du consentement.
Le consentement doit être préalable au dépôt et/ou à la lecture de cookies.
- Tant que la personne n’a pas donné son consentement, les cookies ne peuvent pas être déposés ou lus sur son terminal.
- Il doit être requis à chaque fois qu’une nouvelle finalité nécessitant le consentement vient s’ajouter aux finalités initialement prévues.
Le consentement est une manifestation de volonté, libre, spécifique, univoque et éclairée. La validité du consentement est donc notamment liée à la qualité de l’information reçue.
- Elle doit être visible, mise en évidence et complète.
- Elle doit être rédigée en des termes simples et compréhensibles par tout utilisateur.
- Elle doit permettre aux internautes d’être parfaitement informés notamment s’agissant des différentes finalités des cookies et de l’identité des responsables du ou des traitements.
- Afin de concilier concision et précision de l’information, il est possible d’avoir deux niveaux d’information : par exemple, un premier niveau peut brièvement décrire chaque finalité de traitement, tandis qu’un second niveau viendrait fournir plus de détails sur ces finalités et sur la liste des responsables du ou des traitements.
Le consentement n’est valide que si la personne exerce un choix réel.
- L’utilisateur doit pouvoir accepter ou refuser le dépôt et/ou la lecture des cookies avec le même degré de simplicité.
- Aux termes du considérant 42 du RGPD, qui éclaire l’exigence de liberté du consentement posée par son article 4, « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».
- Par ailleurs, la CNIL recommande que ce choix soit effectué sur chacun des sites ou applications concernés par le suivi de navigation.
Le consentement doit pouvoir être retiré simplement et à tout moment par l’utilisateur.
- Il doit être aussi simple de retirer son consentement que de le donner.
- Des solutions permettant aux utilisateurs de retirer leur consentement doivent être mises à la disposition de l’utilisateur. Elles doivent être accessibles à tout moment. (source : CNIL.fr)