Cookies et traceurs : Nouvelles lignes directrices de la CNIL

Sep 3, 2019RGPD

}

Temps de lecture : <1 minutes

Dans le cadre de son plan d’action sur le ciblage publicitaire, la CNIL a adopté, le 4 juillet dernier, de nouvelles lignes directrices pour rappeler la réglementation des cookies et autres traceurs. Attention, les entreprises doivent pouvoir prouver que les utilisateurs de leur site ont accepté les cookies. Ce consentement ne peut pas se déduire du simple fait que l’internaute a poursuivi sa navigation.

Obtenir le consentement des internautes

La CNIL met en avant un certain nombre de règles à respecter.

Avant tout, l’entreprise doit être en capacité de démontrer que les utilisateurs de son site ont bien donné leur accord à la pose des cookies.

Ce consentement préalable est obligatoire même si les données (consultées ou stockées) ne sont pas des données à caractère personnel.

D’autre part, le fait que l’internaute continue à naviguer sur le site ne constitue pas un consentement valable.

Enfin, le consentement doit être librement donné. En conséquence, faire accepter aux internautes des conditions générales d’utilisation n’est pas une modalité valable de recueil du consentement, celui-ci devant être donné de manière distincte pour chaque finalité.

Dans le même ordre d’idées, il est interdit de bloquer l’accès au site web si l’internaute refuse d’être suivi (délibération art. 2).

Les informations à fournir aux internautes

Pour que le consentement de l’internaute soit valable, il est nécessaire que l’entreprise lui ait préalablement fourni certaines informations. Elle doit ainsi lui communiquer a minima (délibération art. 2) :

  • l’identité du ou des responsables de traitement ;
  • la finalité des opérations de lecture des données ;
  • l’existence du droit de retirer son consentement.

Un cas particulier : les cookies de mesure d’audience

Les entreprises peuvent avoir besoin de mesurer l’audience de leur site web grâce à des cookies. Ces traceurs ne nécessitent pas le consentement des internautes s’ils répondent à certaines conditions (délibération art. 5) :

  • l’internaute doit être informé préalablement de leur mise en œuvre ;
  • il doit pouvoir s’y opposer par un mécanisme d’opposition facilement utilisable ;
  • les données à caractère personnel collectées ne doivent pas être recoupées avec d’autres traitements (fichiers clients ou statistiques de fréquentation d’autres sites, par exemple) ni transmises à des tiers ;
  • l’utilisation des traceurs doit être strictement cantonnée à la production de statistiques anonymes ;
  • la portée des traceurs ne doit pas permettre le suivi de la navigation de l’internaute sur différents sites ;
  • l’utilisation de l’adresse IP pour géolocaliser l’internaute ne doit pas fournir une information plus précise que la ville ;
  • l’adresse IP collectée doit également être supprimée ou anonymisée une fois la géolocalisation effectuée ;
  • la durée de vie des traceurs ne doit pas excéder 13 mois et cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites ;
  • les informations collectées par ces traceurs ne doivent pas être conservées au-delà de 25 mois.

Les opérations dispensées du consentement préalable des internautes

Le consentement préalable n’est pas demandé dans deux cas (délibération, art. 6) :

  • lorsque l’accès aux informations stockées dans le terminal de l’utilisateur a pour seule fin de permettre ou faciliter la communication par voie électronique ;
  • lorsque cet accès est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Néanmoins, les utilisateurs doivent être informés de l’existence de ces opérations et de leur finalité.

CNIL délibération 2019-093 du 4 juillet 2019, JO du 19, texte n° 92

Ces articles pourraient vous intéresser