Évolution programmée dès juillet 2019 des recommandations 2013 de la CNIL
Et si finalement des conditions légales pour le dépôt des « cookies » on ne savait plus grand-chose depuis l’entrée en vigueur du RGPD au 25 mai 2018 ?
En effet la CNIL avait dans sa délibération 2013-378 du 05/12/13, pris une recommandation relative aux cookies et autres traceurs visés par l’article 32-II de la loi informatique et libertés du 06/01/78.
A toutes fins utiles sous le terme générique cookies la CNIL dans sa recommandation précitée visait les cookies et autres traceurs comme les « cookies flash », « les pixels invisibles », les « identificateurs cachés » et autres possibilités d’identification par calcul d’empreinte du terminal.
La CNIL en 2013 avait considéré en l’état du droit alors applicable c’est-à-dire « Directive de 1995, et de 2002 et 2009» que bien sûr le cookie au sens large du terme ne pouvait être déposé avant d’avoir reçu le consentement de la personne, c’est-à-dire :
D’abord une information préalable,
Que l’internaute ait donné un consentement de manière non ambiguë ce qui avant le RGPD, pouvait consister à continuer la navigation sur le site, à supposer par contre que l’information préalable soit loyale c’est-à-dire explicite.
Avec l’arrivée du RGPD applicable obligatoirement à compter du 25/05/18, c’est toute la problématique du consentement valable qui pose un problème de définition.
« C’est quoi un consentement valable avant un dépôt de cookies/et autre traceurs désormais ? »
Il n’aura pas échappé aux professionnels de la donnée, et notamment aux acteurs du secteur marketing en ligne, que depuis le 25/05/18, la CNIL avait pris des initiatives pour redéfinir les règles du jeu dans le secteur de la géolocalisation marketing avec l’implémentation du SDK , notamment pour le recueil du consentement, dans les applications par les mises en demeure suivantes :
- TEEMO ,
- FIDZUP,
- VECTAURY,
- Sans compter la sanction Google en janvier 2019.
Or les professionnels engagés dans l’économie de la donnée ont besoin d’avoir des règles claires, on pense ici notamment aux « Start ‘up » qui développent leurs applications et doivent savoir comment écrire leurs schémas internes de recueil du consentement, ce qui suppose donc de bien connaître les règles du jeu des limites et conditions d’un consentement valable.
Pour ces raisons la CNIL va dans la première quinzaine de juillet 2019 poser de nouvelles lignes directrices pour une période transitoire de 12 mois environ pour inviter les acteurs du secteur économique à bien comprendre comment utiliser et surtout appliquer les nouvelles règles du consentement interprétées à la lumière du RGPD pour les dépôts des cookies et traceurs.
Mais attention, si a priori d’après les informations qu’a pu commencer à donner la CNIL, la poursuite de la navigation comme preuve du consentement pour le dépôt du cookie et du traceur sera maintenue provisoirement, pour autant il sera soumis à des conditions spécifiques d’équilibre justement entre le droit des entreprises à recevoir et traiter la donnée et les personnes concernées prenant en compte la nouvelle définition du consentement de l’article 7 du RGPD.
Ce recadrage par la CNIL en attente du nouveau règlement européen « E- Privacy » très attendu, et dont on peut penser et (espérer !) que ce sera le premier grand chantier de la nouvelle commission européenne à partir de septembre prochain, sera de toute façon à remettre aussi en perspective avec 2 arrêts attendus de la cour de justice de l’union européenne qui dans les affaires « Fashion ID » et « Planèt49 » doit répondre à 2 questions préjudicielles importantes sur justement :
La nouvelle définition du consentement et ses limites pour le dépôt des cookies et autres traceurs (Arrêt à venir Planèt49),
Et déterminer qui doit être responsables des obligations tenant justement au recueil du consentement lorsque plusieurs acteurs interviennent dans le dépôt et la lecture de cookies (dépôt de cookies par un éditeur et lecture par des régies publicitaires). (Arrêt à venir Fashion ID)
L’été sera donc « studieux » pour les professionnels du secteur (Editeurs de contenus numériques, Responsables de traitement de mesure d’audience et d’analytics, Développeurs d’applications, etc.), afin de bien configurer leurs activités aux nouvelles recommandations de la CNIL, et nous soulignons donc combien pour les professionnels du secteur économique il est urgent de veiller à rédiger et/ou adapter les conditions contractuelles nécessaires à leur activité développement.
La veille juridique contractuelle s’impose !
D’autant que si nécessaire en fonction des mises au point de la CNIL en juillet prochain, « Accountability » oblige, la rédaction des polices confidentielles de traitement des données, et des polices cookies devront être adaptées (vite allô mon DPO !).
Nous vous tiendrons informés au fur et à mesure, dès la parution des nouvelles recommandations CNIL (première quinzaine de Juillet) et du résultat des 2 arrêts attendus par la cour de justice de l’union européenne Fashion ID et Planèt49.
Véronique Rondeau- Abouly
Avocat-DPO externe
Le cabinet de Maître Rondeau Abouly à Paris et Marseille vous accompagne dans les domaines du Droit du numérique et des technologies avancées, de la Blockchain et des Cryptoactifs, incluant la démarche protection des données et de la vie privée (RGPD & ePrivacy).
Maître Rondeau Abouly met également à votre disposition un service d’horodatage de vos documents numériques sur la Blockchain.
© 2021 MAÎTRE VÉRONIQUE RONDEAU - ABOULY - Réalisation Bexter - Accueil - Plan du site - Mentions légales
