Lignes directrices de la CNIL sur les cookies et outils de traçage : épilogue d’une saga “Adtech” de plus de 7 ans ?

DÉFINITIONS ET CONTEXTE

Les règles juridiques entourant l’utilisation de “traceurs” ont toujours été d’une importance fondamentale dans un environnement économique désormais massivement digital. Pour rappel, on peut définir les “traceurs” comme toutes les opérations de lecture et/ou d’écriture d’informations dans l’équipement terminal d’un abonné ou d’un utilisateur de services de communications électroniques. Il en existe une grande variété, comme l’identification et le suivi d’un internaute en fonction de son comportement sur le web (fingerprinting). Mais le traceur le plus connu reste aujourd’hui le “cookie”, petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et contenant des informations ré-utilisées lors de contacts ultérieurs avec le même domaine.

L’ensemble des outils de traçage implique des manipulations de données relatives à l’utilisateur, d’où la nécessité d’un encadrement juridique à leur utilisation. Le texte de référence venant produire un tel encadrement est la directive européenne dite ePrivacy (directive 2002/58 modifiée en 2009), transposée en droit français à l’article 82 de la loi n°78-17 du 6 janvier 1978, dite loi « Informatique et Libertés » (LIL). Comme souvent dans la sphère juridique, les règles générales édictées par les textes réglementaires s’avèrent cependant trop floues pour garantir la sécurité juridique des acteurs économiques qui, au vu des différentes interprétations possibles de ces textes, peuvent être confus quant au comportement à adopter afin d’être en conformité avec la réglementation. C’est pourquoi la CNIL essaie maintenant depuis 2013 de venir préciser le sens des textes légaux au travers de ses “lignes directrices”, devant permettre aux acteurs concernés de comprendre les implications concrètes des textes. 

RAPPEL DES ACTES PRÉCÉDENTS

Les premières lignes directrices publiées par la CNIL et portant principalement sur les cookies datent du 5 décembre 2013 (délibération n°2013-378). Elles traduisaient la recherche d’un compromis entre une volonté d’encadrement de plus en plus forte des données utilisées par les acteurs de la publicité digitale, et la liberté économique de ces derniers, en leur permettant par exemple de considérer que la poursuite de la navigation sur un site web caractérisait la manifestation du consentement à l’utilisation de traceurs.

Cependant, l’entrée en vigueur du RGPD imposant désormais un consentement devant être libre, spécifique, éclairé, univoque, et manifesté par un acte positif clair rendait ces lignes directrices incompatibles avec la réglementation en vigueur. Le RGPD ayant également permis de mettre fin à certaines polémiques et discussions entre l’industrie et la CNIL, de nouvelles lignes directrices ont été édictées le 4 juillet 2019 (délibération n°2019-093), énonçant des règles plus strictes, puisque par exemple la poursuite de la navigation sur un site et les cases pré-cochées ne pouvaient désormais plus être considérées comme des actions positives traduisant le consentement de l’utilisateur. De même, les cookies walls étaient dorénavant considérés comme contraire à la réglementation en vigueur. Pour une analyse détaillée de ces lignes directrices du 4 juillet 2019, voir notre édito sur la question.

Ces nouvelles lignes directrices ont cependant été partiellement censurées par le Conseil d’État le 19 juin 2020, qui a notamment considéré que l’interdiction générale et absolue des cookies walls constituait un excès de pouvoir de la part de la CNIL (CE, 19 juin 2020, req. n° 434684). Pour plus d’informations sur cette décision, voir notre édito. En parallèle, la CNIL avait élaboré un projet de recommandation ayant pour but de préciser ses lignes directrices et qui a été soumis à une consultation publique du 14 janvier au 25 février 2020. Au vu de la condamnation du Conseil d’État, et se basant sur la consultation publique précitée, la CNIL a ainsi adopté de nouvelles lignes directrices le 17 septembre 2020, accompagnées de leur recommandation :

> CNIL 17 sept. 2020, délib. n° 2020-091, lignes directrices (JO 2 oct.)

> CNIL 17 sept. 2020, délib. n° 2020-092, recommandation (JO 2 oct.)

DES TEXTES DE DROIT SOUPLE ?

Les lignes directrices édictées par la CNIL sont techniquement des textes “de droit souple” (soft law) qui, contrairement aux textes “de droit dur” (hard law), n’édictent pas de règles générales et absolues. La CNIL le rappelle d’ailleurs en énonçant que sa recommandation, « et notamment les exemples qui y sont proposés, n’est ni prescriptive ni exhaustive et a pour seul objectif d’aider les professionnels concernés dans leur démarche de mise en conformité » (point 3).

De telles affirmations ne doivent cependant pas minimiser l’importance de l’édiction de lignes directrices, puisqu’en effet, ces dernières constituent une interprétation des lois en vigueur à laquelle pourront se référer les différentes instances du système judiciaire. Ce qui rapproche dans les faits de telles règles de droit souple de règles de droit dur, un phénomène de rapprochement qui s’observe plus généralement dans l’ensemble de la sphère juridique (voir la recevabilité des recours contre des actes de droit souple : CE, 21 mars 2016, n° 390023). Par ailleurs, l’enjeu est également de taille puisqu’un projet de règlement ePrivacy est actuellement en discussion et les lignes directrices de la CNIL pourraient potentiellement en être une source d’inspiration.

SUR LES OPÉRATIONS CONCERNÉES

Du point de vue du contenu des lignes directrices édictées par la CNIL, on trouve premièrement une définition plus précise et délimitée des opérations concernées par la réglementation relative aux manipulations de données. Ainsi, les traceurs sont définis de manière très similaire à la définition juridique courante présentée ci-dessus : ils concernent « toutes les opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans l’équipement terminal de l’abonné ou de l’utilisateur d’un service de communications électroniques ou à inscrire des informations dans celui-ci » (point 9). Sans que cela ne constitue un changement par rapport aux textes antérieurs, est cependant exclu des lignes directrices tout traceur ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou étant strictement nécessaire à la fourniture du service : la CNIL produit dans ses recommandations une liste des traceurs exemptés à son point 49. Parmi les outils de traçage qui ne sont pas concernés par les lignes directrices, la CNIL porte plus spécifiquement son attention sur les traceurs ayant pour finalité la mesure d’audience. Ceux-ci sont définis comme “les traceurs dont la finalité se limite à la mesure de l’audience du site ou de l’application, pour répondre à différents besoins […] strictement nécessaires au fonctionnement et aux opérations d’administration courante ” et qui ne servent qu’à “produire des données statistiquement anonymes” (points 50 à 52).

Toutes les autres opérations impliquant un traceur seront soumises à la législation en vigueur (RGPD, directive ePrivacy et donc article 82 de la loi LIL). Ce qui implique de recueillir le consentement de l’utilisateur avant de récolter ses données par le biais de traceurs, et ce qui nous amène au second point fondamental de ces nouvelles directrices.

SUR LE CONSENTEMENT

Dès lors que les opérations entrent dans le champ de l’article 82 de la LIL, les acteurs concernés doivent s’assurer que l’utilisateur ou l’abonné délivre son consentement pour utiliser des traceurs. Dans l’hypothèse où plusieurs acteurs contribuent aux opérations de traçage (typiquement, l’éditeur de site / un tiers dépose des traceurs et des tiers les utilisent), il doit être rappelé que conformément à l’arrêt Fashion ID ces différents acteurs sont considérés comme responsables conjoints du traitement de données, ce qui implique une délimitation claire et contractuelle de leurs obligations respectives. Dans ce cas de figure, les lignes directrices affirment cependant que l’éditeur du site web ou de l’application mobile semble être le plus à même d’informer l’utilisateur et de recueillir son consentement (point 37). Combinant cette précision au rappel selon lequel « les possibilités de paramétrage des navigateurs et des systèmes d’exploitation ne peuvent, à eux seuls, permettre à l’utilisateur d’exprimer un consentement valide » (points 43 à 15), il faut aujourd’hui considérer que l’acteur devant systématiquement être en charge de la récolte du consentement sera l’éditeur du site ou de l’application mobile.

Le consentement ainsi recueilli doit être conforme aux exigences du RGPD (article 4, 11 RGPD). Les lignes directrices le rappellent, tout en se penchant plus précisément sur certaines implications concrètes de ces caractéristiques :

• Consentement libre. Partant de la décision du Conseil d’État du 19 juin 2020 précitée, les lignes directrices de la CNIL ne se prononcent plus sur la validité des cookies walls par rapport à la validité du consentement. Ainsi affirme-t-elle de manière très prudente que « le fait de subordonner la fourniture d’un service ou l’accès à un site web à l’acceptation d’opérations d’écriture ou de lecture sur le terminal de l’utilisateur […] est susceptible de porter atteinte, dans certains cas, à la liberté du consentement » (point 17). En un mot, cette pratique est désormais licite, mais l’utilisateur devra être clairement informé des conséquences de ses choix (point 18). Toujours par rapport au caractère libre du consentement, il est rappelé dans les lignes directrices qu’un consentement unique à plusieurs finalités n’est pas valide (point 19), mais qu’il est conforme à la réglementation de proposer un bouton acceptant ou refusant toutes les finalités, tout en permettant de personnaliser ses choix avec un bouton donnant accès à la liste des finalités et à la possibilité de les accepter, ou non.

• Consentement spécifique. Il est rappelé, même si ce point était relativement clair dans la jurisprudence, qu’un consentement global aux Conditions Générales d’Utilisation ne permet pas d’avoir un consentement valide de l’utilisateur relativement à l’utilisation d’outils de traçage, puisqu’un tel consentement ne serait pas spécifique, ce qui le rend invalide (point 20).

• Consentement éclairé. Les informations relatives aux traceurs doivent être rédigées de manière claire, et compréhensibles par tous. Ce qui inclut également la manière de présenter l’information, rappelle la CNIL : « afin d’être compréhensible et de ne pas induire en erreur les utilisateurs, la Commission recommande aux organismes concernés de s’assurer que les utilisateurs prennent la pleine mesure des options qui s’offrent à eux, notamment au travers du design choisi et de l’information délivrée » (point 10). La CNIL délivre par ailleurs au point 24 de sa recommandation une liste des informations qui doivent à minima être présentes. A ce propos, les lignes directrices insistent sur le fait que l’utilisateur doit être en mesure d’identifier clairement les responsables de traitement de leur donnée, à partir d’une liste précise et à jour.

• Consentement univoque. La CNIL rappelle dans ses lignes directrices qu’une telle caractéristique du consentement suppose que l’utilisateur accepte par un acte positif clair (point 26). Il est précisé, de manière cohérente avec ses lignes directrices de 2019, que ni la poursuite de la navigation ni l’utilisation de cases pré-cochées ne constituent une action positive, et que le consentement ne peut être récolté de manière valide au travers de telles actions (point 27).

• Refus et retrait du consentement. Au contraire de l’octroi du consentement, le refus de le donner peut se déduire du simple silence de l’utilisateur (point 30), et ne doit pas être plus compliqué à exprimer que l’acceptation (point 30 à 34). De même, les lignes directrices rappellent que le fait de retirer son consentement doit être aussi simple que de le donner (point 31). L’endroit permettant un tel retrait devrait ainsi être facilement accessible.

• Conservation. De manière assez classique, la CNIL recommande une conservation des cookies sur une durée de 6 mois dans sa recommandation (points 35 à 39).

EN BREF

Pour résumer, les nouvelles lignes directrices assorties de leur recommandation ne constituent pas un changement radical par rapport au précédent texte datant de 2019. Les définitions restent très similaires, tout comme les principes généraux associés au traitement des données par les acteurs de la publicité digitale. Quelques précisions ou évolutions sont cependant à noter: 

• La CNIL a publié une liste des cookies qui sont certains d’être exemptés, et à laquelle les acteurs de la publicité en ligne pourront se référer.
• Elle annonce clairement qu’aujourd’hui, l’éditeur du site doit être l’acteur chargé de récolter le consentement des utilisateurs.
• Elle affirme qu’un bandeau cookie conforme à la réglementation doit être composé d’un bouton permettant d’accepter toutes les finalités, mais aussi d’un bouton permettant de toutes les refuser, et d’un autre permettant de personnaliser ses choix.
• Elle indique que la pratique du cookie wall est désormais a priori licite, même si l’utilisateur doit dans ce cas être très clairement informé sur les conséquences de ses choix.
• Les conditions liées au consentement sont clairement listées et complétées. Ainsi, le design des bandeaux doit être pris en compte par les éditeurs pour établir le caractère éclairé du consentement transmis. Les conditions liées au refus et au retrait du consentement sont explicitées : silence ne vaut pas acceptation, et le retrait du consentement doit être aussi aisé que son octroi.

CONCLUSION

Pour conclure, les lignes directrices édictées par la CNIL et assorties de sa recommandation constituent un acte de droit souple qui revêt une importance fondamentale. Plus détaillées et précises que les lignes directrices précédentes, s’appuyant sur la légitimité d’une consultation publique et intégrant les remarques du Conseil d’État sur les potentiels excès de pouvoir engendrés par une attitude trop stricte, ces lignes directrices semblent constituer un texte stable et apte à assurer la sécurité juridique des différents acteurs de l’économie digitale, voire à servir d’inspiration pour un futur règlement ePrivacy.

Ces guidelines ne bouleversent en aucun cas le modèle des acteurs de la publicité en ligne, et appellent tout au plus à quelques ajustements pour certains d’entre eux, concernant par exemple les bandeaux cookies. Nous n’avons pas encore assez de recul pour mesurer les impacts économiques de ces textes mais nous allons entamer une série d’interview de dirigeants représentatifs du secteur de l’AdTech pour recueillir leurs premières réactions et suivre ces acteurs pour mesurer l’évolution des impacts.

Valérie Chavanne & Quentin Roland