Cet article est reproduit ici dans le cadre de notre Partenariat avec DIBB (Do It, Be Better), Agence de DPO certifiés AFNOR, Experts des problématiques RGPD.
N’hésitez pas à lire l’article original sur le Blog des auteurs !

 

Le 18 septembre 2019, neuf associations professionnelles des médias et de la publicité en ligne ont déposé un recours auprès du conseil d’état (Recours, source: Mindnews) pour contester la conformité au droit français et européen d’une délibération en date du 4 juillet 2019 de la Commission Nationale Informatique et Libertés concernant les cookies et traceurs. (Délibération CNIL du 4/7/19)

Faire appel à la plus haute juridiction française  peut paraître disproportionné, mais rappelons qu’elle est le seul tribunal compétent en cas de contestation d’une décision de la CNIL. Ceci traduit aussi l’importance donnée par les législateurs au sujet des données personnelles et de leur protection.

 

Avant de parler RGPD: Que sont les Cookies ?

 

Avant de rentrer dans le fond du problème, intéressons-nous à ce que sont les « cookies ». Il s’agit de petits bouts de logiciels qui s’activent lors de l’ouverture d’une page sur internet. Leur petite taille, leur multiplication et l’humour anglo-saxon les ont assimilés à des « petits gâteaux » qu’on consomme sans modération.

Personnellement je préfère le terme « d’informateurs » qui correspond bien mieux à leur réelle fonction. On peut les diviser en trois grandes catégories.

Informateurs (cookies) utiles : Selon le terminal (PC, Smartphone, Tablette etc.), navigateur et mode de connexion (Wifi, téléphonie), ces logiciels vont rendre possible ou améliorer votre navigation sur la page internet consultée. Par exemple, ils vont détecter que vous utilisez tel PC avec tel processeur, telle version de Windows et tel navigateur. Ce type d’informateur peut être essentiel au bon fonctionnement de la page ou juste améliorer votre expérience.

Informateurs (cookies) passifs : Afin de comprendre l’attitude de l’internaute qui consulte un site internet, ces informateurs vont recueillir des données sur la navigation, à l’exclusion (a priori) de données personnelles. Par exemple, un tel informateur va mesurer le temps passé sur telle page, tracer le parcours réalisé (d’où le nom de traceurs) etc. Dans certains cas, il est possible qu’il recueille des données personnelles (adresse IP) ou assimilée (géolocalisation). Tout ceci s’effectue dans un but d’amélioration du site.

Informateurs (cookies) actifs : Ces informateurs vont enregistrer les données (éventuellement personnelles) que l’internaute va donner. Le but est de simplifier et améliorer l’expérience de l’utilisateur qui n’aura pas à rentrer de nouveau certaines informations lors d’une prochaine consultation.

Voilà donc, en quelques lignes et de manière très simplifiée ce que sont les cookies ou informateurs.

Leur capacité à remonter des informations en temps réel et en grande quantité en ont fait de remarquables outils pour le marketing digital. Ils en sont devenus une composante essentielle. Toutefois, et on ne peut l’ignorer, ces capacités en ont fait aussi de redoutables espions de nos faits et gestes sur internet.

 

RGPD: Le Cadre Juridique des Cookies

 

Pour cette raison, les législateurs ont mis en place des règles d’utilisation auxquelles les concepteurs et détenteurs de sites doivent se plier.

Jusqu’au 4 juillet 2019, celles-ci étaient stipulées dans la recommandation n°2013-378 de la CNIL en date du 5 décembre 2013. Ces mesures étaient alors, parfaitement en ligne avec le droit européen et en particulier la directive 95/46/CE.

Dans ce cadre, l’internaute, à l’ouverture d’une page web pouvait se voir proposer, « a minima » un bandeau d’alerte lui indiquant la présence de cookies et précisant que continuer la navigation équivalait à une acceptation implicite de leur présence et utilisation.

Dans d’autres cas, le choix proposé d’accepter ou non les cookies pouvait entraîner, en cas de refus, l’interruption de la navigation. Pour accéder aux pages concernées, l’internaute devait autoriser la présence et l’usage des cookies. Cette pratique a vite été surnommée « cookie wall « , car l’internaute se heurtait à un mur…de cookies !

En 2016, l’Union Européenne a adopté le règlement général sur la protection des données (RGPD) qui entre en vigueur le 25 mai 2018. Le RGPD ne traite pas des cookies en tant que tel. Une directive à venir dite « e-privacy » abordera directement ce sujet toutefois ses principes fondamentaux imposent dans les faits une évolution des directives en matière de cookies.

L’ICO (infirmation commissioner’s office), autorité de contrôle britannique, a ainsi mis à jour le 3 juillet 2019 ses lignes directrices sur l’usage des cookies :(Lignes directrices cookies de l’ICO)

Le 4 juillet se fut donc au tour de la CNIL et le texte fut publié au journal officiel du 19 juillet. Le texte rappelle sans équivoque les principes fondamentaux du RGPD tels qu’exprimés en ses articles 4 et 7 :

 

RGPD Article 4-11 : «consentement» de la personne concernée

Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

 

RGPD Article 7 : Conditions applicables au consentement

  1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.
  2. Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n’est contraignante.
  3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.
  4. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.

 

La CNIL a donc appliqué strictement et dans toute leur étendue ces deux articles dans ses nouvelle lignes directrices sur les cookies et traceurs.

 

Voici les extraits les plus pertinents de l’article 2 :

 

  • « En application de la loi « Informatique et Libertés », du RGPD et des lignes directrices du CEPD sur le consentement, les traceurs nécessitant un recueil du consentement ne peuvent être utilisés en écriture ou en lecture tant que l’utilisateur n’a pas préalablement manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair »
  • « La Commission souligne que le consentement doit se manifester par le biais d’une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer. Le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable. »
  • « La Commission rappelle que la personne concernée doit être en mesure de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte. Le fait d’offrir par ailleurs à la personne la possibilité de consentir de manière globale est acceptable, à condition que cela s’ajoute, sans la remplacer, à la possibilité de consentir spécifiquement à chaque finalité. »
  • « L’article 7 du RGPD impose que le consentement soit démontrable, ce qui signifie que les organismes exploitant des traceurs doivent mettre en œuvre des mécanismes leur permettant de démontrer, à tout moment, qu’ils ont valablement recueilli le consentement des utilisateurs. »
  • « A ce titre, la Commission rappelle que le CEPD, dans sa « déclaration sur la révision de la directive « ePrivacy » et son incidence sur la protection de la vie privée et la confidentialité des communications électroniques », a considéré que la pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (« cookie walls ») n’est pas conforme au RGPD. Le CEPD considère en effet que, dans une telle hypothèse, les utilisateurs ne sont pas en mesure de refuser le recours à des traceurs sans subir des conséquences négatives (en l’occurrence l’impossibilité d’accéder au site consulté).

 

En résumé :

 

  • L’utilisation de cookies sur un site web est subordonnée à la mise en place d’un système d’acceptation ou non de ceux-ci.
  • En aucun cas, le refus ne peut entraîner une impossibilité d’accéder aux services proposés.
  • Le détenteur du site web doit non seulement recueillir les consentements des internautes, mais aussi pouvoir en apporter la preuve et gérer, conformément au RGPD les éventuels retraits de consentements.

 

La CNIL, consciente toutefois qu’un tel dispositif pouvait être contre-productif dans certains cas a précisé aux articles 5 et 6 de sa directive des exceptions :

 

  • Pour les traceurs d’audience, à la condition qu’ils ne recueillent pas d’information personnelles.
  • Aux informateurs (cookies) utiles destinés à faciliter la navigation ou fournir le service.

 

Compte tenu de l’importance des changements à apporter, la CNIL indiquait par un communiqué de presse qu’une période transitoire de six mois était prévue pour la mise en conformité des sites.

 

Les Réactions à cette vision du RGPD

 

De manière intéressante, la décision de la CNIL a conduit à des actions juridiques tant dans le camp des pro que des anti-cookies !

En effet, dès le 29 juillet 2019, les associations « la quadrature du Net » et « Calliopen » introduisaient une requête en référé auprès du conseil d’état (Requête Quadrature du Net et Calliopen) indiquant que la période transitoire considérée allaient priver les citoyens français de la protection offerte par le RGPD. Considérant qu’il n’y avait pas matière d’urgence, la conseil d’état l’a rejetée mais a inscrit l’examen de l’annulation de la décision à sa séance du 30 septembre 2019.

À l’opposé, les professionnels des médias et de la publicité en ligne ont donc, à leur tour introduit un recours qui vise la conformité aux droits français et européens de la délibération du 4 juillet.

Nous ne disposons pas du détail du recours, mais les déclarations de l’avocat des associations soulèvent :

  • Le manque de concertation
  • La « sur-interprétation » du RGPD par la CNIL
  • L’absence de solutions technologiques efficaces pour la mise en œuvre effective des nouvelles directives
  • La mise en œuvre anticipée et potentiellement erronée du futur règlement e-privacy

 

En pratique: Quel recours offre le RGPD  ?

 

J’espère qu’à ce stade le lecteur m’aura pardonné cette longue et très technique exposition des faits. Elle a toutefois été nécessaire pour en arriver au plan d’action concrète qu’un responsable, directeur marketing ou chef d’entreprise doit mettre désormais en œuvre pour sa présence sur internet.

Historiquement, l’existence de période transitoire de tolérance a été la norme en matière de droit des données personnelles.

Le RGPD a été voté en 2016, mis en œuvre en 2018 et ce n’est quasiment qu’un an après que la CNIL a indiqué qu’elle allait désormais strictement le faire observer.

Il est donc plus que probable que jusqu’à la mi-2020, la non-conformité des sites internet aux nouvelles directives en matière de cookies ne sera pas sanctionnée.

On peut par ailleurs légitimement s’interroger sur le bien-fondé du recours introduit par les associations professionnelles des médias et de la publicité :

« Les règles relatives aux cookies ne relèvent en effet pas du RGPD – que la Cnil est chargée de faire appliquer – mais du futur règlement européen ePrivacy. »

Le futur règlement ePrivacy prendra en compte les principes fondamentaux du RGPD. Comme nous l’avons vu plus haut, les nouvelles directives suivent « à la lettre » ceux-ci. L’argument développé ne semble donc pas tenir.

 

Le fond du débat se trouve au cœur de la déclaration de leur avocat :

« Le RGPD n’est pas remis en question, au contraire. C’est l’interprétation qu’en fait la Cnil, ici en France, qui pose question. Il ne s’agit pas de contester son rôle de régulateur : nous avons besoin de lisibilité et d’harmonisation européenne. Mais certaines interprétations franco-françaises soulèvent des questions de fond et remettent en cause en tant que telles les activités de marketing et de publicité en ligne. »

Le RGPD est récent et son interprétation fait débat, à travers toute l’Europe. L’article 50 du RGPD prévoit une mise en œuvre cohérente de celui-ci par les différentes autorités de contrôle. De fait les lignes directrices sur les cookies de l’ICO mises à jour peu de temps avant la publication de celles de la CNIL n’en diffèrent pas. C’est donc aux professionnels de médias et de la publicité de s’adapter te probablement de définir de nouveaux « business models » respectueux du droits des personnes en matière de données personnelles.

Le sujet n’est ni anodin, ni ignoré du grand public. La conformité au RGPD n’est que la traduction légale d’une exigence croissante des consommateurs en matière de respect des droits de la personne. Les professionnels qui s’auront s’en emparer ne peuvent qu’y gagner en confiance de la part de leurs clients, fournisseurs et collaborateurs.

La conformité au RGPD est donc une véritable valeur ajoutée pour l’entreprise et ne doit pas être perçue comme une contrainte. Il est donc recommandé d’utiliser la période des six mois qui viennent pour mettre en conformité ses sites web et faire de cette action une communication positive dans la droite ligne de la responsabilité sociale et environnementale de l’entreprise.  C’est dans de tels cadres que s’inscrit l’accompagnement de DIBB à ses clients.

 

 

DIBB (Do It, Be Better) est une Agence de Data Protection Officers (DPO) Externalisés fondée par Yves MARTIN et Sylvie RIVIÈRE

Certifiés AFNOR, ils interviennent en Conseil, Accompagnement et Formation au sein des Entreprises et Organisations.