Cookies et Traceurs : Analytics
et RGPD
Dernier rappel pour le 31/03/2021 ou prendra fin la longue période d’adaptation laissée par la CNIL aux éditeurs de sites utilisant des cookies et autres traceurs pour leurs actions de mise en conformité.
Pour vous aider une « Check liste » des dernières vérifications, et interrogations de mise en conformité.
La période d’adaptation dont le terme expire au 31 mars 2021 n’était pas pour autant un « blanc-seing » pour les utilisateurs de cookies qui de toute façon devaient respecter les dispositions de la Loi informatique et Libertés (Loi Lil) en son article 82.
En effet l’utilisation du cookie est réglementée depuis la codification dans la loi informatique et libertés des dispositions de la Directive E-Privacy du 12/07/2002 dite (directive vie privée et communication électroniques).
S’en découlait que le cookie ne pouvait être déposé dans le terminal de l’abonné ou de l’utilisateur du service de communication électronique avant que celui-ci ait été informé par le responsable du traitement :
– De la finalité de toute action permettant le dépôt et/ ou la lecture ou inscription ultérieure d’informations dans cet équipement.
– Et des moyens dont il disposait pour s’y opposer.
Si la CNIL a publié en juillet 2019 de nouvelles lignes directrices sur l’utilisation des cookies, c’était pour adapter tout « l’écosystème » en procédant notamment pour les enjeux de l’accès aux « informations collectées » à l’entrée en vigueur du RGPD :
– A une rénovation dans la délivrance de l’information au prisme des principes de la transparence visée à l’article 12 du RGPD.
– Avec surtout l’obligation de soumettre le consentement requis par l’article 82 de la loi « Informatique et libertés », loi LIL, aux critères de validité du consentement prévu par les articles 4 § 11 et 7 du RGPD impliquant à la charge du responsable de traitement la traçabilité de sa preuve.
La période d’adaptation qui se termine au 31/03/ 2021 ne concerne donc que l’adaptation à ces nouvelles modalités, mais pour la CNIL les obligations du responsable de traitement sur la conformité de l’application du RGPD aux traitements des informations elles, n’ont jamais été suspendues !!!
Il est donc recommandé au responsable du traitement de profiter des dernières vérifications pour la mise en place de la conformité de son bandeau cookies et de son procédé logiciel de recueil du consentement au 31/03/21, de vérifier l’Accountability c’est-à-dire l’adaptation permanente au RGPD de la conformité de ce qui est la finalité du cookie c’est-à-dire le traitement des informations collectées.
Petit focus sur les points essentiels restant à vérifier pour partir du bon pied au 31/03/2021 :
- La qualité de l’éditeur du site :
Tous les éditeurs de sites sont concernés c’est-à-dire aussi bien les organismes privés que publics (Mairies et collectivités territoriales, établissements et administration publique) dès lors qu’ils procèdent aux opérations de lecture et/ou d’écriture visées par l’article 82 de la loi Lil précitée ci-dessus. - L’incidence du traceur purement fonctionnel pour les enjeux du consentement :
Dans certaines conditions ces traceurs peuvent être exemptés du recueil du consentement s’ils répondent aux conditions fixées par l’article 5 des lignes directrices de la CNIL du 17/09/2020.
Il s’agit des traceurs qui sont soumis aux 2 exceptions qui étaient prévues déjà par les dispositions de l’article 82 de la loi informatique et libertés et qui visent :
– Le traceur qui a pour finalité exclusive de permettre et faciliter la communication par voie électronique,
– Ou celui qui est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.
Mais la frontière pour déterminer si la fonctionnalité du traceur l’exempte du recueil du consentement devra être vérifiée régulièrement au regard de l’évolution des technologies puisque le critère qualifiant en cas de contrôle sera de ne pas permettre de traitement ultérieur des informations ainsi collectées. - La particularité du cookie de mesure d’audience :
Il est exempté aussi de consentement sous certaines conditions savoir :
– Être strictement limité à la seule mesure d’audience sur le site, et pour le compte exclusif de l’éditeur,
– Servir uniquement à produire des données statistiques anonymes,
Et ne permettre :
– Ni le suivi global de la navigation de la personne utilisant différentes applications naviguant sur différents sites Web,
– Ni le recoupement des données avec d’autre traitements, ou à ce que les données soient transmises à des tiers.
Pour les éditeurs de sites qui utilisent les fonctionnalités d’un compte ouvert auprès des services de Google pour obtenir les services de la fonctionnalité de Google Analytics, leur attention doit être attirée sur le fait que ces traceurs sont considérés comme devant être soumis au consentement.
L’éditeur du site devra porter une très grande attention sur le paramétrage des fonctionnalités choisies pour avoir accès aux services de « Google Analytics » et notamment de penser à activer dans son parcours de choix des fonctionnalités du service l’option d’anonymiser la collecte des adresses IP.
Consciente des difficultés pour les éditeurs de sites d’évaluer les solutions d’Analytics pouvant être configurées pour rentrer dans le périmètre de l’exemption du recueil du consentement, la CNIL a publié le 8 mars 2021 une note d’information pour leur permettre de mesurer si leurs outils de mesure d’audience étaient ou non susceptibles de rentrer dans l’exemption de consentement.
La CNIL a lancé un programme pour identifier les solutions pouvant être configurées pour rentrer dans ce périmètre de l’exemption, et elle publiera à très bref délai la liste des solutions relevant de l’exemption du consentement.
Elle a ainsi mis en œuvre un programme d’évaluation en constituant un dossier à faire parvenir à la CNIL avant le 30 juin 2021 pour étudier les solutions conformes, pour les responsables de traitement volontaires. Affaire à suivre donc car l’enjeu des solutions d’Analytics non soumise recueil du consentement est important pour la sécurité juridique des éditeurs de site.
Nous vous tiendrons régulièrement informé au fur et à mesure des publications de la CNIL.
Les responsables de traitements doivent inviter leurs fournisseurs de services web et autres prestataires de services à leur justifier de la compatibilité des options prisent par ces derniers dans le paramétrage sur leurs pages web qu’ils ont codés.
C’est en général le concepteur du site qui décide d’implémenter les scripts de la solution du « traceur à finalité d’analytics », il doit donc justifier à l’éditeur du site de la nature du traceur en l’éclairant sur les incidences de ce choix notamment par rapport à ses obligations si le traceur ne rentre pas dans l’exemption du consentement.
Pour cela il est recommandé au responsable de traitement de « documenter » dans son registre des traitements ses meilleurs efforts et démarches pour s’assurer de ce que les traceurs utilisés sont bien exemptés de consentement.
- L’organisation du choix du retrait du consentement :
Enfin l’éditeur de site ne doit pas oublier qu’il doit organiser la possibilité pour l’utilisateur de ses services de revenir sur sa décision d’avoir opté pour le consentement au dépôt du traceur à tout moment.
Il s’agit ici d’un des principes essentiels du RGPD lorsque le traitement est fondé sur la base du consentement :
– Le responsable de traitement doit organiser que le retrait du consentement puisse se faire de manière aussi facile et aussi sécurisée que les conditions dans lesquelles celui-ci a été reçu. Il appartient au responsable de traitement d’organiser que le choix pour l’utilisateur de gérer et de retirer son consentement soit aisément accessible tout au long de sa navigation sur le site, grâce à des zones de signalisation suffisamment claire pour attirer son attention. Il est recommandé au responsable de traitement d’utiliser des icônes Légal Design le plus explicite possible. - La délivrance d’une information loyale pour le choix des options offertes à l’utilisateur :
Les éditeurs de sites devront déployer leurs meilleurs efforts pour choisir le design des interfaces de recueil de choix pour les différents boutons « tout accepter » et/ou « tout refuser » et/ou « paramétrage des choix » de manière à ce que l’utilisateur ne soit pas confronté à un parcours complexe, et organisé de manière « à l’influencer » à plutôt consentir au traceur que d’exprimer un refus.
Ou l’on retrouve d’ailleurs à cet égard tous les enjeux de la délivrance d’une « information » préalable transparente c’est-à-dire « intelligible « sur les conséquences des choix ».
La mise en œuvre de ce nouveau « bandeau cookies » fera couler sans doute beaucoup d’encre tant les enjeux réels de l’accès aux informations du cookies sont encore insoupçonnés pour nombre d’éditeurs de site lesquels ont tout intérêts à s’entourer d’équipes aux compétences transversales qui intègrent un juriste spécialisé.
Suivez nos publications, nous vous informerons régulièrement.
Véronique RONDEAU ABOULY
Avocat au barreau de Marseille, DPO externe.
La rédaction de cet article publié au 22/03/2021, vous vous euros a été conçue et organisée pour vous soumettre des informations utiles, des axes de réflexion pour une utilisation personnelle ou à visée professionnelle.
Il est mis à jour régulièrement mais dans un contexte réglementaire et jurisprudentiel évoluant, nous soulignons que nous ne pouvons être responsable de toute péremption du contenu, ou de toute erreur juridique et/ou inexactitude qui pourrait se révéler en fonction de l’évolution, le lecteur voudra bien considérer qu’en tout état de cause pour une application personnalisée chaque cas est unique et que bien sûr le cabinet reste à votre disposition si vous avez une question précise à poser en lien avec cet article, nous nous ferons un plaisir de collaborer avec vous, n’hésitez pas à prendre contact ou à nous téléphoner
Le cabinet de Maître Rondeau Abouly à Paris et Marseille vous accompagne dans les domaines du Droit du numérique et des technologies avancées, de la Blockchain et des Cryptoactifs, incluant la démarche protection des données et de la vie privée (RGPD & ePrivacy).
Maître Rondeau Abouly met également à votre disposition un service d’horodatage de vos documents numériques sur la Blockchain.
© 2021 MAÎTRE VÉRONIQUE RONDEAU - ABOULY - Réalisation Bexter - Accueil - Plan du site - Mentions légales
