Des lignes directrices plus fermes
Jusqu’à présent, les règles applicables aux cookies et autres outils de traçage sur internet étaient définies par les recommandations de la Commission Nationale Informatique et Libertés (CNIL) du 5 décembre 2013, venant préciser la directive ePrivacy relative à l’utilisation de ces cookies (directive 2002/58 modifiée en 2009). Cette dernière notifie notamment que lorsque les cookies (ou technologies similaires) ne sont pas strictement nécessaires à la fourniture d’un service expressément demandé par un utilisateur, ils sont soumis à l’obtention de son consentement préalable. Après deux ans de discussions avec l’industrie autour de l’interprétation de la notion de consentement, la CNIL a publié ses les lignes directrices en 2013 permettant de préciser les contours de cette base légale.
C’est dans un contexte réglementaire en pleine mutation, marqué par l’entrée en vigueur du RGPD et les vives discussions autour de l’adoption prochaine d’un nouveau règlement ePrivacy, que la CNIL a décidé fin juin de renouveler son approche de la réglementation en matière de protection de la vie privé et d’utilisation de cookies. Les nouvelles lignes directrices vont très clairement dans le sens d’un renforcement des obligations pesant sur les entreprises utilisant des cookies pour récolter des informations sur les utilisateurs de leur site internet. Ainsi, la CNIL affirme notamment que :
- Les cookies walls (bloquer l’accès à un site web ou à une application mobile pour l’utilisateur n’acceptant pas les cookies) ne sont pas conformes à la réglementation en vigueur.
- Le consentement global aux cookies est acceptable, sous réserve qu’il reste suffisamment spécifique.
- L’acceptation des CGU ne vaut pas consentement, il s’agit de deux actions indépendantes (d’où l’intérêt de séparer CGU et Privacy Policy dans deux documents distincts, ce que nous faisons dans les services proposés par le cabinet).
- La durée de vie des cookies ne pourra pas excéder 13 mois (25 mois pour les informations récoltées par traceur). Ce délai court après leur premier dépôt dans l’équipement terminal de l’utilisateur (faisant suite à l’expression du consentement).
Le consentement implicite remis en question
L’évolution principale des recommandations de la CNIL reste définitivement la suivante : la poursuite de la navigation sur un site et les cases pré-cochées ne peuvent désormais plus être considérées comme des actions positives traduisant le consentement de l’utilisateur. Il s’agit d’une évolution importante : selon les règles de 2013, l’utilisateur devait être informé, par l’apparition d’un bandeau, de la finalité des cookies utilisés, de la possibilité de s’y opposer, et du fait que la poursuite de sa navigation valait consentement au(x) dépôt(s) de cookies sur son appareil. La CNIL validait donc, bien qu’à contrecœur, le principe d’un consentement implicite. Ces nouvelles recommandations remettent en cause cet accord trouvé entre l’autorité de contrôle et l’industrie. Il faut y voir l’influence des évolutions réglementaires récentes et à venir : le RGPD a indéniablement renforcé les conditions de validité du consentement. De même, le futur règlement ePrivacy, bien que très controversé, semble pointer dans cette direction, même si son contenu n’est pas encore définitivement fixé et que son vote a été reporté à 2020.
L’impact d’un tel revirement est considéré comme significatif pour l’industrie. La quasi-totalité des entreprises ayant un site internet font usage de cookies, et sont donc concernées. Elles ont désormais 12 mois (jusqu’à juillet 2020) pour revoir leur copie sur leur méthode de recueil du consentement lié à l’utilisation de cookies, sous peine de sanctions. En effet, si les recommandations de la CNIL n’ont pas force de loi, leur non-respect peut déclencher des poursuites que seul une procédure contentieuse lourde pourrait écarter.
L’équilibre des intérêts en présence
Que penser d’un tel changement ? Cette nouvelle obligation donnerait-elle plus de contrôle aux utilisateurs, et de transparence au procédé de récolte des cookies ? Remarquons que si ces évolutions ont en effet comme but de renforcer la protection des consommateurs, d’autres pistes pourraient être explorées de manière plus poussée pour atteindre cet objectif, comme des exigences renforcées de clarté, de lisibilité et d’accessibilité des politiques de confidentialité. De nombreux acteurs ont fait des efforts considérables en ce sens, mais qui restent définitivement perfectibles aux yeux des régulateurs, autorités de contrôles et de certains utilisateurs.
Les inquiétudes liées à ces évolutions viennent surtout de certaines entreprises qui voient cette obligation comme une nouvelle lourdeur réglementaire imposée au monde des affaires, et un danger pour leur modèle économique basé sur la publicité ciblée. La protection accrue des internautes se ferait ainsi au prix d’une atteinte disproportionnée à la fluidité des échanges économiques. Une telle inquiétude est-elle entièrement fondée ?
Il faut bien voir que le monde de la protection des données personnelles et de la vie privée n’est pas un jeu à somme nulle, où les intérêts des utilisateurs entreraient systématiquement en conflit avec ceux des entreprises. En l’occurrence, une transparence accrue et un plus grand contrôle de l’utilisateur sur l’utilisation des cookies n’irait pas à l’encontre de la fluidité des échanges économiques. Un utilisateur bien informé et en confiance est également un utilisateur moins susceptible d’émettre des réclamations aux entreprises concernant ses données, ou de faire jouer ses différents droits comme le droit à l’oubli, le droit d’opposition etc… Protéger l’internaute et développer la relation de confiance qu’il entretient avec les différents acteurs du monde économiques ne va donc pas à l’encontre des intérêts de ces derniers sur le long terme, au contraire. Bien que pouvant susciter quelques inquiétudes au premier regard, ces évolutions réglementaires pourront, à l’aide de compromis, créer une balance équilibrée entre les différents intérêts en présence.
A court terme, ces évolutions juridiques nécessiteront de rédiger de la documentation, de modifier les procédures, et de former les salariés aux nouvelles obligations. LegalUP Consulting propose un ensemble complet et diversifié de services en ligne, couvrant l’intégralité des démarches à entreprendre dans ce cadre. Nos équipes se feront une joie de vous fournir un accompagnement complet, précis et personnalisé pour votre mise en conformité comme pour votre participation aux débats publics en soutenant vos actions de lobbying et vos contributions dans les associations professionnelles engagées dans les initiatives de l’industrie. Nous avons en effet tous des droits et des devoirs, mais surtout la chance de pouvoir contribuer à la construction de bonnes pratiques vertueuses pour tous.