# CNIL (autorité française de protection des données) : lignes directrices mises à jour sur les cookies - juillet 2019

Le 28 juin 2019, la CNIL (Autorité française de protection des données) a annoncé son plan d'action pour l'année 2019/2020 et a décidé de mieux contrôler le ciblage publicitaire en ligne.

Les lignes directrices du Comité européen de la protection des données (CEPD) sur le consentement ont renforcé les conditions d'un consentement valide et ont donc rendu obsolètes les recommandations précédentes de la CNIL sur le sujet. En conséquence, la CNIL a adopté de nouvelles lignes directrices sur les cookies et autres traceurs le 4 juillet 2019 et a retiré ses recommandations de 2013 qui n'étaient plus conformes au Règlement général sur la protection des données (RGPD).

La CNIL accorde une période de transition de douze mois aux opérateurs après la publication de ses nouvelles lignes directrices pour se mettre en conformité, mais uniquement pour les points qui divergent des directives antérieures de 2013.&#x20;

Parallèlement, des consultations avec les professionnels sont programmées de septembre 2019 à janvier 2020 afin de publier (au début de 2020) une recommandation finale proposant les modalités opérationnelles de collecte du consentement. Les opérateurs auront 6 mois pour se conformer après cette publication.

### **Nouvelles lignes directrices de la CNIL**

Les délibérations du 4 juillet 2019 comprennent au total 7 articles.

#### Article 1

Cet article commence par clarifier le champ d'application des lignes directrices. Il s'applique à « toutes les opérations visant à accéder, par transmission électronique, à des informations déjà stockées dans le terminal de l'abonné ou de l'utilisateur ou à y inscrire des informations ».&#x20;

Cela inclut tous les traceurs déposés sur mobile, tablette, ordinateur, télévision ou console de jeux vidéo et plus généralement sur tout appareil connecté à un réseau de télécommunications ouvert au public. La CNIL indique que cette réglementation s'applique à toutes les données, y compris les données qui ne sont pas des données personnelles. Il est donc nécessaire d'obtenir le consentement de l'utilisateur final pour le dépôt du traceur, même si les informations collectées ne sont pas des données personnelles. De plus, tout traitement de données personnelles effectué via ces traceurs est soumis au RGPD.

#### Article 2

La CNIL énonce les cas dans lesquels la collecte du consentement est considérée comme valide. Dans un premier temps, elle affirme que le consentement n'est valable que si l'utilisateur final ne subit pas d'inconvénients majeurs en cas de refus ou de retrait du consentement. Elle rappelle aux opérateurs qu'il n'est pas conforme au RGPD de bloquer l'accès au site ou à l'application si l'utilisateur final refuse de donner son consentement.

{% hint style="warning" %}
La légalité des cookie walls est pour l'instant incertaine et est examinée au cas par cas. En réponse aux plaintes des utilisateurs finaux, la CNIL peut enquêter et invalider des cookie walls si nécessaire.
{% endhint %}

Le consentement doit être spécifique à chaque finalité différente et celles-ci doivent être simples et compréhensibles. Il reste acceptable de permettre à l'utilisateur final d'accepter toutes les finalités avec un seul bouton mais il faut également lui permettre de faire des choix de consentement granulaires/spécifiques (*c.-à-d. un bouton « Accepter tout » doit également être accompagné d'un lien permettant à l'utilisateur final de faire des choix granulaires*). À ce titre, l'acceptation des conditions générales n'est pas considérée comme un consentement valide pour le dépôt de cookies.

Avant la collecte du consentement, l'identité du responsable, les finalités (textes contenant toutes les finalités), les partenaires présents sur le site (lien sur la première page pour consulter les partenaires) et l'existence du droit de retirer son consentement doivent être clairement visibles.

La CNIL considère que la simple poursuite de la navigation sur le site/l'application ou le défilement d'une page d'un site ou d'une application ne constituent pas des actions positives claires et, par conséquent, ne constituent pas un consentement valide.&#x20;

Les éditeurs doivent également être en mesure de prouver à tout moment l'existence d'un consentement valide. Lorsque les éditeurs font appel à un sous-traitant pour cela, une simple clause ne suffit pas à remplir cette obligation.

#### Article 3

La CNIL précise que les acteurs déposant des traceurs/cookies sur le site web d'un éditeur et traitant des données pour son compte peuvent être des responsables de traitement.

#### Article 4

Les paramètres du navigateur ne sont pas suffisants et ne permettent pas à l'utilisateur de donner un consentement valable.

#### Article 5

Certains traceurs comme la mesure d'audience ou l'optimisation peuvent être considérés comme des cookies essentiels et peuvent donc être exemptés de consentement seulement sous certaines conditions strictes.&#x20;

#### Article 6

Les traceurs strictement nécessaires à la fourniture du service à la demande de l'utilisateur et ceux permettant de fournir ou de faciliter la communication n'ont pas besoin de consentement.

#### Article 7

Cet article renverse l'ancienne directive de la CNIL de 2013.

{% hint style="info" %}
Un enseignement crucial des nouvelles recommandations est qu'il n'est plus acceptable de collecter le consentement par la simple poursuite de la navigation sur le site et que chaque éditeur doit être en mesure de prouver à tout moment qu'il a obtenu le consentement en question conformément aux exigences légales.

De plus, même si la CNIL accorde aux éditeurs une période de transition pour se conformer à ces nouvelles exigences, elle vérifiera qu'aucun cookie n'est déposé avant le consentement de l'utilisateur.
{% endhint %}