CNIL: Recommandation sur les cookies

En adoptant la Délibération n°2013-378 du 5 décembre 2013 portant adoption d'une recommandation relative aux cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978, la Commission nationale de l'informatique et des libertés (CNIL) entend "rappeler les principes qu'il conviendrait de respecter pour permettre l'utilisation [des cookies et autres traceurs] dans les conditions fixées par l'article 32-II" de la Loi informatique et libertés qui se lit comme suit:     

32-II. Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :
- de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement;   
- des moyens dont il dispose pour s'y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :
- soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
- soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.

Ainsi, en plus de préciser le champ d'application, les obligations respectives des éditeurs de sites et des émetteurs de cookies, les paramètres du navigateur, la durée de vie des cookies (i.e. "treize mois au minimum" - art. 5) ou encore le cas spécifique des cookies de mesure d'audience, la CNIL insiste, à l'article 2, notamment sur le fait que

- "les cookies nécessitant un recueil du consentement ne peuvent être déposés ou lus sur son terminal, tant que la personne n'a pas donné son consentement"; 

- "la validité du consentement est liée à la qualité de l'information reçue. Celle-ci doit être visible, mise en évidence et complète. [...]"; 

- "le consentement doit se manifester par le biais d'une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l'exercer".

Dès lors, pour répondre aux exigences de l'article 2, la CNIL "recommande une procédure de recueil du consentement en deux étapes: 

Dans la première étape, l’internaute qui se rend sur le site d’un éditeur (page d'accueil ou page secondaire du site) doit être informé, par l’apparition d’un bandeau :

• des finalités précises des cookies utilisés ;
• de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;
• du fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal.

Dans la mesure où le consentement ne doit pas être ambigu, ce bandeau ne doit pas disparaître tant que la personne n’a pas poursuivi sa navigation, c'est-à-dire tant qu’elle ne s'est pas rendue sur une autre page du site ou n’a pas cliqué sur un élément du site (image, lien, bouton « rechercher »).

Ainsi, sauf consentement préalable de l’internaute, le dépôt et la lecture de cookies ne doivent pas être effectués :

• si l’internaute se rend sur le site (page d'accueil ou directement sur une autre page du site à partir d'un moteur de recherche par exemple) et ne poursuit pas sa navigation : une simple absence d’action ne saurait être en effet assimilée à une manifestation de volonté ;
• s’il clique sur le lien présent dans le bandeau lui permettant de paramétrer les cookies et, le cas échéant, refuse le dépôt de cookies.

Dans la seconde étape, les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des cookies nécessitant un recueil du consentement :

• pour l’ensemble des technologies visées par l’article 32-II précité ;
• par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d'audience.

La Commission souligne que la mise en œuvre de ce dispositif, si elle est de nature à répondre aux exigences posées par l’article 32-II de la Loi informatique et libertés, n’est pas exclusive d’autres modes plus renforcés de recueil du consentement."

(nos soulignements)

Et, pour permettre tant aux internautes qu'aux développeurs, éditeurs de service, régies publicitaires et autres réseaux sociaux de mieux appréhender les enjeux inhérents à l'utilisation des cookies et autres traceurs, la CNIL propose notamment des fiches pratiques, des outils et codes sources, des vidéo pédagogiques, des fiches conseils et un "logiciel [Cookiesviz] pour visualiser en temps réel le dépôt et la lecture des cookies lors d'une navigation" 

Pour plus de détails, voir notamment: 

• COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS,  
• Délibération n°2013-378 du 5 décembre 2013 portant adoption d'une recommandation relative aux cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978
• "Recommandation sur les cookies: quelles obligations pour les responsables de sites, quels conseils pour les internautes ?", Actualité, 16 décembre 2013 (avec liens vers les différents outils développés par la CNIL)