La recette des cookies a changé. La Commission nationale de l'informatique et des libertés (Cnil) a actualisé ses directives concernant la collecte des données de navigation des utilisateurs de sites web ou d’applications mobiles.
Pour suivre et monétiser leur audience, la plupart des éditeurs placent des "témoins de connexion" (communément appelés cookies) ou des traceurs, dans l’appareil de leurs visiteurs. Mais ils doivent obtenir au préalable leur consentement. Comment ? C’est tout l’objet des préconisations publiées par la Cnil le 1er octobre. Elle donne aux éditeurs jusqu’à fin mars 2021 pour s’y plier.
L’information de l’utilisateur doit être claire et complète
L’idée, derrière ces règles : le choix offert à l’internaute d’accepter, ou non, les cookies doit être le plus simple, clair et neutre possible. Ce qui passe d’abord par une information visible (pas de renvoi vers les CGU), compréhensible (pas de termes juridiques ou techniques trop complexes) et complète.
Doivent être a minima précisées à l’utilisateur, avant qu’il ne se décide : les finalités des traceurs ; les modalités de leur acceptation ou leur refus, ainsi que les conséquences de ce choix ; la possibilité de retirer un consentement donné ; l’identité des responsables du traitement des données collectées.
Le silence de l’internaute équivaut à un rejet des cookies
La Cnil rappelle que le consentement ne peut relever que d’un "acte positif clair". Ce qu’elle interprète désormais de manière plus extensive, puisque silence vaut refus. Si l’internaute poursuit sa navigation sans manifester de choix, le site a interdiction de déposer des traceurs sur son appareil.
Refuser les cookies doit être aussi simple que de les accepter
Pour recueillir le consentement de l’utilisateur, les "bandeaux cookies" ont fleuri sur de nombreux sites web. Eux aussi vont devoir évoluer. Avec une recommandation "forte" : que l’opposition aux traceurs soit "accessible sur le même écran et avec la même facilité" que son acceptation. Pas question, par exemple, de jouer sur le design pour représenter les deux options de manière différenciée.
Concrètement, si un site comporte un bouton "Tout accepter", il doit dorénavant avoir, à ses côtés, son équivalent, graphique et fonctionnel, "Tout refuser". Étant précisé que, dans ce cas, il doit aussi laisser à l’utilisateur la liberté de faire son choix finalité par finalité. Chacune doit alors faire l’objet, dès le premier affichage, d’un "intitulé court et mis en évidence, accompagné d’un bref descriptif".
Lier l’accès au site à l’acceptation des cookies reste sujet à caution
Un éditeur peut-il bloquer l’accès à son service, si le visiteur ne veut pas de ses traceurs ? La Cnil avait initialement dit non. Le Conseil d’État lui a donné tort en juin. La Commission prend aujourd’hui des pincettes : cette pratique, dite de "cookie wall", est "susceptible, dans certains cas et sous certaines conditions, de porter atteinte à la liberté du consentement. Ainsi, [sa] licéité doit être appréciée au cas par cas."
Le consentement doit pouvoir être retiré à tout moment
Le choix de l’internaute n’est pas définitif. Il peut être conservé pour une durée déterminée (six mois, conseille la Cnil), mais il doit être renouvelé "à des intervalles appropriés".
Entretemps, un utilisateur doit être en mesure de retirer son consentement quand il le veut. Cette possibilité doit être clairement exposée et constamment accessible. La Cnil suggère ici de placer un lien, ou un module, sur toutes les pages, afin d’atteindre facilement le paramétrage des cookies.
La Commission recommande le même accès permanent à la liste des responsables du traitement des données. Ces derniers sont rappelés à leur obligation de "fournir, à tout moment, la preuve du recueil valable du consentement", sous peine de s’exposer à des sanctions (jusqu’à cinq ans de prison et 300 000 euros d’amende, voire davantage au titre du RGPD). De quoi rendre le cookie amer.
⏩ À LIRE : les lignes directrices de la Cnil (rappel des règles applicables) et sa recommandation (guide de bonnes pratiques)
