Cnil, Cookies et Traceurs, consentement: comment appliquer les nouvelles lignes

1) contexte de lecture :

Le 4/7/2019, la CNIL dans une délibération numéro 2019-093 comportant 7 articles, formule de nouvelles recommandations en matière de « cookies » et de « traceurs » en ligne, pour donner à tous les utilisateurs de ces technologies, les nouvelles pratiques professionnelles qui s’organisent autour du point focal suivant :

        L’utilisation de cookies et de traceurs a toujours été soumis au principe du consentement,

        Au regard de la mise en œuvre du RGPD dès lors qu’il est question du « consentement », celui-ci doit désormais pour rendre le traitement valable être soumis à de nouvelles conditions de fond et de forme.

Aussi, pour mieux situer le « contexte de la modification », par une première publication sur ce site le 29/07/19, (voirlien ci-dessus) nous vous avons proposé un commentaire décrivant l’historique de la règle depuis :

        La Directive du 12/07/02, dite « Vie privée télécommunications », texte fondateur du cookie,

        Modifiée par la Directive de 2009 dite « Directive E-Privacy »,

        Ce pour mieux remettre en perspective la modification à cet édifice de réglementation apportée par le RGPD depuis le 25/05/2018, et par les nouvelles lignes directrices de la CNIL en 2019.

Par ce second article, nous vous proposons un commentaire de la directive CNIL du 04/07/19, article par article, que vous trouverez en cliquant sur les liens suivants dans ce texte :

        Soit une proposition de lecture de 5 textes qui peuvent être lus de manière indépendante ou en continu ou vous trouverez :

        Premier commentaire Directive Cnil article 1)

Il s’agit de la clarification par la CNIL dans ce premier article de la définition de l’équipement terminal d’abord, ou le lecteur voudra bien constater que sous le terme générique « cookies » le « traceur », prend son « autonomie conceptuelle ».

Si tous 2 visent à la même chose au regard des technologies différentes employées il conviendra de s’habituer à la « différenciation de la désignation », même si bien sûr ils restent soumis au même régime juridique.

En savoir plus: Cnil,lignes directrices du 04/07/2019 la notion de terminal dans l’article 1 de la délibération, et l’article 82 de la Loi informatique et liberté complétée par le RGPD

         

Deuxième commentaire:
Dans cette ligne directrice pour l’article 2, la CNIL précise que « cookies » et « traceurs » s’analysent comme des traitements au sens du RGPD, ils restent soumis à la nécessité du consentement conformément à la réglementation d’origine (Article 32-II devenu article 82 loi informatique et libertés codifiant la directive 2002 modifiée en 2009).

Dans l’univers du RGPD de 2018, les critères d’un consentement valable ne sont plus ceux de la directive de 95, donc le consentement aux cookies, qui jusqu’au 25 mai 2018 pouvait être donné dans les formes du consentement issu de la directive de 95, doit désormais répondre aux nouvelles règles du consentement prévu par les nouvelles dispositions du RGPD.

La CNIL explique comment faire.

En savoir plus: Cnil, Le consentement aux cookies et traceurs, l’article 2 de la délibération du 04/07/2019 fixe les nouvelles lignes de l’application pour rester conforme au RGPD

 Troisième commentaire Directive Cnil article 3)

Tous les « utilisateurs » des informations « cookies » et « traceurs » doivent donc organiser contractuellement leurs rapports par des clauses spécifiques conformes au RGPD qui devront aménager la particularité de justifier pour toute utilisation d’une information issue d’un terminal que l’utilisateur a bien validé l’accès à son terminal par un consentement conforme.

En savoir plus: Cnil, RGPD et responsabilité des acteurs du traitement, que doivent contenir les nouveaux contrats des responsables de traitement, des sous-traitants et des responsables conjoints de traitements en matière de cookies et traceurs.

Quatrième commentaire : (Directive Cnil article 4)

Le paramétrage d’un dispositif de connexion préalable du terminal à l’acceptation de cookies n’est pas en l’état de la technologie actuelle un substitut valable à la manifestation d’un consentement valide.

En savoir plus: Cnil, Rgpd et paramètres du terminal pour la gestion des cookies et autres traceurs , dans ses recommandations de la délibération du 04/07/2019, la CNIL rappelle en article 4 le contexte légal

Cinquième commentaire : (Directive Cnil articles 5 et 6)

 En savoir plus: CNIL, RGPD et cookies/traceurs d’audience et traceurs nécessaires à la communication ou au service, nouvelles lignes directrices depuis le 04/07/2019

Dans ces articles la CNIL donne les précisions sur les conditions de fond et de forme pour :

        Les exemptions au consentement pour les traceurs de mesure d’audience (article 5),

        Les opérations de lecture ou d’écriture non soumise au consentement préalable (article 6).

La CNIL a pris cette délibération du 04/07/19 dans la finalité d’abroger par son article 7, sa recommandation initiale « cookies et autre traceur » du 5/12/2013 dans le contexte où elle a accompagné sa délibération de 2 publications soit :

  • Note d’information du 28/06/19 pour informer que :

Elle était régulièrement sollicitée autant par le grand public que les professionnels du secteur marketing en ligne concernant toutes les problématiques du ciblage publicitaire notamment pour répondre aux questions des professionnels du secteur afin d’accompagner leur mise en conformité générale au RGPD,

        Par ailleurs, elle recevait ensuite de nombreuses plaintes tant individuelles que collectives relatives aux pratiques du marketing en ligne puisque à titre d’exemple pour l’année 2018 notamment, 21 % des plaintes reçues concernaient le marketing au sens large.

Donc la CNIL a décidé de faire du ciblage publicitaire en ligne son sujet prioritaire pour 2019 rappelant à cet effet que les acteurs du secteur marketing en ligne étaient concernés par des pratiques désormais très encadrées soit  Prospection-Cookie et autre traceurs et procédés de géolocalisation)

  1. a) La prospection commerciale In note d’information CNIL du 28/06/19)

La CNIL a rappelé dans cette note du 28 juin 2019 qu’elle avait communiqué à plusieurs reprises sur cette activité particulière du marketing pour rappeler les nouvelles règles applicables ou notamment en décembre 2018 elle avait laissé aux acteurs une période de mise en conformité de 6 mois qui est donc arrivé à échéance au 30 juin 2019.

Donc la CNIL à rappelé dans cette note du 28/06/ 2019 que pour les nouvelles règles sur la prospection commerciale vous trouverez sur ce site un article déjà publié selon lien ci-dessous ; s’applique désormais que l’on fasse de la protection en B2B ou BtoC « L’opt’in partenaire ».

À toutes fins utiles nous reviendrons sur ce point par une FAQ apparaître très prochainement.

  1. b) Concernant les cookies et traceurs :

La CNIL, comprenant que la mise en œuvre du RGPD déjà, avait pu contribuer à déstabiliser les professionnels du secteur, qui font face à de grandes difficultés d’adaptation, pouvaient d’autant plus être désorientés par une nouvelle adaptation dans ce « changement » pour situer leurs exactes obligations sur le « consentement aux cookies » dont on leur rappelle en Juillet 2019 que :

« Le consentement au cookie n’est plus ce qu’il était !!!!! » 

Nous insistons à nouveau sur ce point (voir notre lien cliquable sur le commentaire de l’article 2 des nouvelles lignes directrices du 4 juillet 2019) :

        Avant 2018, les conditions du recueil du consentement aux cookies et traceurs étaient facilités puisque notamment la simple poursuite de la navigation sur le site ou l’application mobile après l’apparition du bandeau cookies permettait de « présumer le consentement aux cookies et traceurs ».

        Depuis 2018 et le RGPD, un consentement pour être valable repose sur d’autres critères , et le traitement particulier des opérations d’écriture et de lecture dans un terminal  modifie les caractéristiques du consentement qui « d’implicite auparavant », devient désormais  «  explicite », et doit être justifié de la part du responsable de traitement à tout stade de l’utilisation des informations du terminal ce qui suppose un formalisme très particulier, nouveau et documenté (voir notre note pour les articles 2 et 3 de la délibération CNIL, à cliquer ci-dessus).

Ce recadrage de Juillet par la CNIL intervient dans un contexte particulier.

En effet la mise en œuvre du RGPD aurait dû intervenir de manière concomitante avec celle du Règlement E-Privacy qui aurait dû modifier la Directive 2002 elle-même modifiée en 2009.

Les discussions pour l’adoption de ce règlement au niveau du Parlement européen ce sont « embourbées » au regard des enjeux très importants par rapport aux nouvelles obligations mises à la charge sans doute des responsables de traitement, mais aussi des prestataires des services de télécommunications.

Donc le RGPD a été mis en œuvre sans son « frère jumeau », le Règlement E- Privacy ce qui aurait arrangé beaucoup de choses évidemment car à l’évidence pour des technologies comme le cookie et le traceur utilisables aujourd’hui sur des terminaux extrêmement variés notamment les applications mobiles, recueillir un consentement de manière explicite et surtout documenté par une information préalable très précise, avouons-le c’est très difficile !!!!

 Surtout pour une application immédiate aux applications mobiles déjà « anciennes » dans leur parcours d’écriture et d’organisation interne.

Au regard de la multiplicité des technologies employées et des référentiels métiers notamment, justifier du recueil du consentement procède donc d’une difficulté technique importante, qu’il convient de ne pas sous-estimer.

Justement le Règlement E-Privacy qui aurait pu faire des différences pour la prise en compte de l’appréciation d’un consentement valide en respectant et les droits fondamentaux des personnes concernées, et les contraintes de la technologie n’étant pas advenu, la CNIL le souligne dans sa note d’information du 28/06/19 que nous citons « In extenso » :

        « Sans attendre l’adoption du règlement E-Privacy, actuellement en cours de discussion et qui n’entrera pas en vigueur à court terme, la CNIL doit actualiser ses cadres de référence afin de les mettre en conformité avec le droit applicable.

Cette mise à jour répond à un objectif de protection des personnes concernées et de sécurisation juridique pour les acteurs économiques. »

Ainsi la délibération CNIL du 4/7/2019 doit être remise dans son contexte elle constitue bien :

        Les nouvelles lignes directrices à appliquer pour être conforme au RGPD en attendant le nouveau Réglement E-Privacy,

        Ces lignes directrices se mettent en place dans le cadre d’un plan d’action que la CNIL divise en 2 étapes :

        Première étape : publication des nouvelles lignes directrices du 4 juillet 2019.

        Ces nouvelles conditions resteront en vigueur tant qu’elles ne seront pas abrogées par la CNIL, et dans l’attente en tout cas de la promulgation avenir du Règlement E-Privacy.

Ainsi comprise, cette délibération du 04/07/2019, éclairée par ses 2 « notes d’information » des 28/06 et 18/07/2019(voir ci-après pour la note du 18/07/19), doit amener les utilisateurs de cookies et traceurs à « bien comprendre » que les modalités de l’expression du consentement de l’utilisateur du terminal sont définitivement modifiées, pour prendre dès maintenant les mesures d’adaptation.

Par contre ce qui est aménagé « dans l’instant » la CNIL le précise dans sa note d’information du 28/06/2019:

        La CNIL laisse aux acteurs une période transitoire de 12 mois afin qu’ils puissent se conformer aux principes nouveaux par rapport à sa précédente recommandation de 2013(abrogée depuis le 04/07/19) c’est-à-dire que pendant 12 mois à compter de juillet 2019 :

La simple poursuite de la navigation sur un site comme expression du consentement sera encore considérée par la CNIL comme acceptable, néanmoins nous attirons l’attention du lecteur, ce régime dérogatoire transitoire est assorti de certaines conditions à respecter dès maintenant.

De juillet à décembre 2019, la CNIL en liaison avec chaque catégorie d’acteurs (éditeurs de contenus, annonceurs, prestataires intermédiaires de l’écosystème du marketing, représentant de la société civile,) reçus par l’intermédiaire de leurs organisations professionnelles représentatives, travaillera à décliner ses futures recommandations pour appliquer les nouvelles modalités pratiques de recueil du consentement.

La CNIL estime possible de pouvoir publier les normes relatives à la mise en œuvre pratique de l’organisation du recueil du consentement pour la fin d’année 2019, ou au plus tard dans le courant du premier trimestre 2020.

À partir de cette publication de nouvelles recommandations qui ne porteront que sur les modalités pratiques à mettre en œuvre pour recueillir valablement un consentement, seront diffusées.

 La CNIL, permettra pendant encore un délai supplémentaire de 6 mois après cette recommandation élaborée avec les acteurs de « l’écosystème » des cookies et traceurs de considérer comme restant encore valable l’expression du consentement par poursuite de la navigation sur le site et/ou l’application mobile.

2) seconde communication du 18 juillet 2019 :

 La CNIL a considéré que ce délai laissé aux opérateurs « qui respectaient jusqu’à présent la recommandation de 2013 » s’inscrit dans l’organisation de l’existence juridique de prévisibilité en cas de changement des règles applicables résultant des principes de la Convention européenne des droits de l’homme

 La CNIL considère que ce « délai d’adaptation » vise à garantir une mise en conformité aux règles protégeant la vie privée des utilisateurs du terminal selon un standard robuste et durable pour tout l’écosystème des activités du « ciblage » ce qui est l’objectif poursuivi par le régulateur.

Donc nous pensons utile de souligner ici avec une grande « Force et Vigueur » à l’attention de tous les professionnels concernés que : « Cet entre 2 », pour la tolérance au consentement par la continuation de la navigation ne doit pas être considéré par les responsables de traitement comme une période de pur attentisme.

Il faut se mettre au travail dès maintenant dans la mesure où la CNIL a bien précisé qu’elle resterait vigilante sur le respect de tous les autres nouveaux critères à respecter lors de l’utilisation des technologies donnant accès au terminal d’un utilisateur soit :

  • Aucun dépôt de cookies ou traceur ne doit avoir lieu avant le recueil du consentement, en application des règles antérieures.

Doit par ailleurs être facilité pour l’utilisateur du terminal aussi :

  • L’expression de son refus au traitement,
  • Ainsi que l’organisation d’un parcours de retrait du consentement en cours de traitement,

        Donc les responsables de traitement doivent être, et ce dès maintenant, intraitables, et intransigeants sur la qualité de l’information à donner à l’utilisateur du terminal pour qu’il puisse effectuer :

 La délivrance d’une information nouvellement normée qui désormais « Rénove » et « Caractérise » la validité d’un consentement :

 C’est cela que les responsables de traitement des traceurs doivent maintenant avoir à l’esprit et c’est là-dessus qu’ils doivent faire porter et ce dès maintenant leurs efforts.

En d’autres termes la nouvelle question pour le responsable de traitement pour vérifier s’il a permis à l’utilisateur de donner un « consentement valide » ce n’est plus de raisonner par rapport à la question suivante :

A qui et à quoi l’utilisateur du terminal donne son accord !

Mais de concevoir la rédaction de son information préalable vers la finalité suivante :

Au nom de quoi l’utilisateur donne t’il son consentement à accéder à son terminal !

 Donc, et nous insistons particulièrement le changement c’est vraiment maintenant , et  la révision des politiques informations cookies doit intervenir dans les plus brefs délais avec par ailleurs la révision des contrats procédant de l’économie cookies traceur ce que la CNIL rend obligatoire (voir notre commentaire dans le lien cliquable sur l’article 3 de la délibération).

        La CNIL donc au regard de sa délibération du 04/07/2019 et en contrepartie justement de la période d’adaptation de 12 mois sera d’autant plus intransigeante dans ses contrôles pour vérifier si le responsable du traitement délivre donc cette information générale préalable au premier dépôt de cookies ou traceur configurée selon le but téléologique suggéré ci-dessus.

Où l’on voit que le cookie et le traceur vont constituer le « feuilleton de l’été » puisque l’association « La quadrature du net » en concertation avec « Caliopen » ont pris la décision d’assigner la CNIL en justice devant le Conseil d’État dans le cadre d’un recours sollicitant au fond :

        L’annulation des 2 articles de la CNIL que nous venons de commenter ci-dessus en date des 28 juin et 18 juillet 2019 qui ont autorisés la poursuite de la navigation comme mode d’expression valable du consentement jusqu’à la mi-2020.

        Dans l’attente que le Conseil d’Etat se prononce sur le fond, les 2 associations requérantes ont doublé le recours d’un référé suspensif pour obtenir justement la suspension du plan d’action de la CNIL soit les 2 notes d’instruction des 28/06 et 18/07/2019 :

Les 2 associations « La Quadrature du net » et « Caliopen » sollicitent que sans délai d’adaptation :

L’expression du consentement aux cookies et autres traceurs respectent et ce dès maintenant les conditions du RGPD, et que soit suspendu la tolérance pour encore 12 mois qu’un consentement par la continuation de la navigation sur le site ou sur l’application mobile soit assimilé à l’expression d’un consentement valable.

Nous insistons bien sur le fait que la « Quadrature du net » et « Caliopen » ne demandent absolument pas l’annulation du contenu de la directive du 4 juillet 2019 mais juste la suspension du délai d’adaptation pour selon les propos de la CNIL : « organiser les modalités du   recueil du consentement selon un standard robuste et durable fixé par le régulateur ».

Nous avons pu examiner, puisqu’il est publié sur le site de la « Quadrature du net » le contenu de sa requête en référée suspension introduite par les 2 associations demanderesses :

 L’audience de référé est prévue pour être plaidée le 14 août.

 Nous préparons d’ores et déjà un commentaire que nous vous soumettrons, sur ce débat tout aussi intéressant que passionnant, car d’autres questions juridiques que révèle ce débat judiciaire pourront nous faire réfléchir, bref le cookie et le traceur !!!! » Ce n’est pas fini » !!!!!

Fait à Marseille le 09 Aout 2019

Véronique Rondeau– Abouly

Avocat à Marseille : Déléguée à la protection des données (DPO externe)

Image d’illustration: Pixabay-libre de droit -Geralt 

La rédaction de cet article a été conçue et organisée pour vous soumettre des informations utiles, des axes de réflexion pour une utilisation personnelle ou à visée professionnelle.Il est mis à jour régulièrement mais dans un contexte réglementaire et jurisprudentiel évoluant, nous soulignons que nous ne pouvons être responsable de toute péremption du contenu, ou de toute erreur juridique et/ou inexactitude qui pourrait se révéler en fonction de l’évolution,  le lecteur voudra bien considérer qu’en tout état de cause pour une application personnalisée chaque cas est unique et que bien sûr le cabinet reste à votre disposition si vous avez une question précise à poser en lien avec cet article, nous nous ferons un plaisir de collaborer avec vous, n’hésitez pas à prendre contact ou à nous téléphoner.


Retour

© 2021 MAÎTRE VÉRONIQUE RONDEAU - ABOULY - Réalisation Bexter - Accueil - Plan du site - Mentions légales

En poursuivant votre navigation, vous acceptez l'utilisation de services tiers pouvant installer des cookies

Gestion des cookies