Newsletter

Vie des affaires

Sites Internet

Pratique des cookies : la CNIL souhaite voir un bouton « tout refuser » sur tous les sites

La CNIL a adopté des lignes directrices modificatives ainsi qu’une recommandation sur l’usage de cookies et autres traceurs. Elle demande aux entreprises d'être prêtes d'ici le mois de mars 2021.

Les grands principes rappelés par la CNIL

Le consentement des internautes

Se référant à la directive 2002/58/CE « vie privée et communications électroniques » (ou « ePrivacy ») et au règlement général sur la protection des données (RGPD), la Commission nationale de l'informatique et des libertés (CNIL) rappelle que la simple poursuite de la navigation sur un site ne peut pas être considérée comme une expression valide du consentement de l’internaute.

Les internautes doivent consentir au dépôt de traceurs par un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). S'ils ne le font pas, aucun traceur non essentiel au fonctionnement du service ne peut être déposé sur leur appareil.

En outre, les internautes doivent être en mesure de retirer leur consentement, facilement, et à tout moment.

Enfin, refuser les traceurs doit être aussi aisé que de les accepter.

L'information des internautes

Les internautes doivent clairement être informés des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs.

Ils doivent également être informés de l’identité de tous les acteurs utilisant des traceurs soumis au consentement.

Par ailleurs, les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’internaute.

Les nouvelles recommandations de la CNIL

La CNIL recommande que l’interface de recueil du consentement ne comprenne pas seulement un bouton « tout accepter » mais aussi un bouton « tout refuser ».

Elle suggère par ailleurs que les sites internet, qui généralement conservent pendant une certaine durée le consentement aux traceurs, conservent également le refus des internautes pendant une certaine période, afin de ne pas réinterroger l’internaute à chacune de ses visites.

En outre, pour que l’utilisateur soit bien conscient de la portée de son consentement, la CNIL recommande que, lorsque des traceurs permettent un suivi sur des sites autres que le site visité, le consentement soit recueilli sur chacun des sites concernés par ce suivi de navigation.

Un délai accordé jusqu'au mois de mars 2021

La CNIL invite tous les acteurs concernés à s’assurer de la conformité de leurs pratiques aux exigences du RGPD et de la directive ePrivacy.

Elle estime que le délai de mise en conformité aux nouvelles règles ne devra pas dépasser 6 mois, soit au plus tard fin mars 2021. Toutefois, si la CNIL tiendra compte des difficultés opérationnelles des opérateurs pendant cette période durant laquelle elle privilégiera l’accompagnement sur les contrôles, elle se réserve la possibilité, conformément à la jurisprudence du Conseil d’État, de poursuivre certains manquements, notamment en cas d'atteinte particulièrement grave au droit au respect de la vie privée (CE 16 octobre 2019, n° 433069).

En outre, la CNIL continuera à poursuivre les manquements aux règles relatives aux cookies antérieures à l’entrée en vigueur du RGPD, éclairées par sa recommandation du 5 décembre 2013.

CNIL, Délibérations n° 2020-091 et 2020-092 du 17 septembre 2020, JO du 2 octobre, et communiqué du 1er octobre 2020