Du bon usage des cookies : la CNIL livre sa recette
Le nouvel article 32 II de la loi du 6 janvier 1978, issu de l’ordonnance du 24 août 2011 relative aux communications électroniques, soulève de nombreuses questions pratiques concernant les modalités d’information et d’obtention du consentement des internautes, préalablement à l’installation de cookies sur leurs terminaux de connexion.
Il convient en effet d’observer que si le nouveau texte fixe des principes clairs, il donne peu d’indications concrètes aux professionnels sur les modalités de mise en œuvre des nouvelles règles posées. Dans un article récemment publié sur son site, la CNIL livre son interprétation de l’article 32 II et éclaire le texte de ses recommandations pratiques.
Rappelons que les règles d’utilisation des cookies se trouvent entièrement concentrées dans cet article 32 II disposant que :
« tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
de la finalité de toute action tenant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
des moyens dont il dispose pour s’y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu’à la condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de toute autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :
soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »
La simple lecture de ce texte – très dense – suffit à en faire ressortir les chausses trappes.
Tout d’abord, le principe d’information préalable de l’utilisateur et d’obtention de son consentement est assorti d’une exception générale tenant à la finalité du cookie. Sont exclus les cookies ayant pour finalité exclusive de permettre la navigation de l’internaute sur le site ou ceux qui seraient « strictement » nécessaires à la fourniture du service fourni à la demande « expresse de l’utilisateur ». La CNIL énonce les exemples de cookies auxquels l’exception aurait vocation à s’appliquer, notamment ceux qui sont utilisés comme « panier d’achat » sur un site marchand (puisqu’ils permettent la fourniture du service d’achat), les cookies dits de « session » qui permettent de lier les actions d’un utilisateur pour lui fournir le service demandé, les cookies dits « flash » qui sont indispensables pour permettre la lecture par l’utilisateur de certains contenus audio ou vidéo ou encore les cookies qui permettent de mémoriser la langue choisie par l’utilisateur lors de sa visite du site.
L’exclusion de ces cookies du champ d’application de l’obligation d’information préalable signifie-t-elle que les sites peuvent les utiliser à l’insu de l’utilisateur ? Une application stricte du texte appelle une réponse positive, et la CNIL ne dit pas le contraire, même si elle recommande que les politiques de confidentialité des sites fassent état de l’utilisation de ces cookies (ce qui est le cas pour les principaux sites marchands).
La deuxième question que soulève l’article 32 II, sans y répondre clairement, est de savoir qui doit informer l’internaute. Il convient en effet de rappeler que, dans de très nombreux cas, les cookies sont destinés à établir un profil de l’internaute afin de lui adresser de la publicité en lien avec ses centres d’intérêts. Cette publicité comportementale est avant tout mise en œuvre par les régies publicitaires, les sites pouvant alors intervenir comme simple support. L’article 32 II énonce, selon la terminologie usuelle de la loi du 6 janvier 1978, que l’information doit être donnée par « le responsable du traitement » ou « son représentant ». La CNIL indique logiquement sur ce point que l’information est à la charge « du responsable de traitement mettant en œuvre des cookies » ce qui conduit à conclure, dans l’exemple donné précédemment, que le responsable de l’information est la régie publicitaire qui place le cookie sur le terminal de l’utilisateur lors de sa visite sur un site support. Ce qui ne signifie pas néanmoins qu’en cas de non respect par la régie de son obligation, le site ne pourrait pas à être considéré comme coresponsable du dommage causé à l’utilisateur. Il appartient donc aux sites partenaires des régies d’encadrer les obligations de ces dernières dans les accords qu’ils concluent.
L’article 32 II prévoit que l’internaute doit être informé de manière claire et complète « sauf s’il l’a été au préalable ». Cette réserve peu explicite méritait certainement d’être précisée par la CNIL. En pratique, un utilisateur qui accède à plusieurs reprises à un même site doit il être informé lors de chaque visite du site de la possible installation d’un cookie ? La CNIL fait preuve de mesure en énonçant clairement que « si l’utilisateur a précédemment donné son accord (ou exprimé son refus) pour un cookie, il n’est pas nécessaire de solliciter de nouveau son accord lors des visites suivantes ». La CNIL va même plus loin en adoptant la même position pour des cookies « tiers ». Ainsi, lors de la visite d’un site, un utilisateur peut cliquer sur des bannières publicitaires qui déclencheront une information de la régie ayant placé cette bannière sur le site afin que l’utilisateur accepte ou non de recevoir de la publicité ciblée émanant de cette régie, y compris lors des visites sur d’autres sites. Cette information initialement donnée lors de la visite sur un site est donc réputée s’appliquer également aux autres sites visités par l’internaute et comportant des bannières émanant de la même régie.
L’information et l’obtention du consentement de l’internaute se trouvent au centre du nouveau dispositif posé par l’article 32. II. La CNIL souligne à cet égard que les deux sujets sont interdépendants car sans information préalable, claire et complète, le consentement ne peut être donné valablement. Les modalités pratiques d’information et d’expression du consentement sont donc un sujet essentiel pour les sites et les régies publicitaires. Il est aujourd’hui acquis – et la CNIL le confirme – qu’une information noyée dans les conditions générales d’utilisation (CGU) d’un site ne peut permettre de recueillir le consentement spécifique, exprès et éclairé de l’internaute préalablement à l’installation du cookie.
Selon les recommandations pratiques de la CNIL, l’information sur la finalité du cookie peut être présentée par exemple dans une bannière visible en haut de la page d’accueil du site, ou dans une zone spécifiquement dédiée au recueil du consentement en surimpression de la page ou dans des cases d’information lors de l’inscription en ligne pour les sites qui prévoient une telle inscription. Les pop-up sont en revanche déconseillés car ils peuvent être bloqués par les navigateurs.
La CNIL recommande donc clairement la mise en place, sur les sites, d’espaces visibles, réservés et dédiés spécifiquement à l’information de l’internaute sur les cookies au sein desquels ce dernier pourrait exprimer son accord ou son refus. La CNIL exprime à l’inverse ses réserves sur l’efficacité du paramétrage par l’internaute de son navigateur, pourtant expressément visé par l’article 32.II énonçant que l’accord de l’utilisateur « peut résulter de paramètres appropriés de son dispositif de connexion ou de toute autre dispositif placé sous son contrôle ». La CNIL considère qu’au regard des fonctionnalités actuelles des navigateurs, le paramétrage concernant les cookies ne permet pas d’offrir des solutions totalement satisfaisantes. En effet, si les navigateurs les plus utilisés permettent de configurer le paramétrage de façon à déclencher une demande d’accord de l’utilisateur pour chaque cookie, la CNIL observe que ce paramétrage (souvent complexe) ne peut en tout état de cause délivrer une information sur les finalités de chaque cookie et qu’en outre, les sites utilisant les cookies ne sont pas en mesure de vérifier si le paramétrage du navigateur de l’utilisateur a été correctement établi. Surtout, ce paramétrage ne permet pas de faire la distinction entre les cookies qui sont tous rejetés ou au contraire acceptés lors d’une session, en fonction de l’accord ou du refus exprimé par l’internaute.
La mise en avant par la CNIL des imperfections des navigateurs actuels constitue un appel aux fabricants et aux régies publicitaires afin que ces derniers travaillent de concert à l’élaboration de nouveaux outils permettant de gérer l’information et le consentement des utilisateurs dans des conditions efficaces et conformes à l’esprit du nouvel article 32 II.
Hélèna DELABARRE