La CNIL lance sa première vague de contrôle sur les cookies
Onze mois après la publication de sa recommandation relative aux cookies et autres traceurs, la CNIL a annoncé vouloir vérifier la conformité des sites internet avec les principes dégagés dans sa délibération du 5 décembre 2013. Pour diligenter ces opérations, les agents de la CNIL pourront recourir à leurs pouvoirs de contrôle sur place mais également à leurs nouveaux pouvoirs de contrôle en ligne permettant de consulter à distance les données librement accessibles au public pour procéder à des constats.
Dans sa délibération la CNIL précisait les bonnes pratiques à mettre en œuvre pour respecter les dispositions de l’article 32 II de la loi Informatique et Libertés, à savoir la fourniture d’une information préalable des internautes permettant à ces derniers de donner leur consentement avant toute installation de cookies dans leurs terminaux. A la suite des différentes concertations menées avec les professionnels du secteur, la CNIL a finalement adopté une approche plus flexible en admettant le principe du consentement implicite de l’internaute à condition de lui fournir en amont une information visible, explicite et détaillée sur les cookies lui permettant de poursuivre sa navigation sur le site en connaissance de cause.
Ces opérations de contrôle débuteront à partir du mois d’octobre 2014 et devraient permettre à la CNIL d’analyser les catégories de traceurs utilisées (cookies http, cookies flash, techniques d’empreintes numériques) et leurs finalités. Dans le cas où la finalité poursuivie par ces cookies nécessiterait le consentement de l’internaute, la CNIL contrôlera le mécanisme de recueil du consentement utilisé (dépôt des cookies avant ou après que l’internaute ait pu exprimer son accord, action positive de l’internaute pour formaliser son accord par un clic ou action passive de l’internaute en poursuivant sa navigation après lecture d’un 1er bandeau d’information). Elle appréciera également la simplicité d’utilisation de la solution proposée en termes de convivialité et d’ergonomie. La CNIL testera ainsi la visibilité de l’information fournie sur les cookies, les conséquences pratiques en cas de refus d’installation, la possibilité effective de retirer son consentement à tout moment de même que la durée de vie réelle des cookies dont elle recommande une expiration au bout de 13 mois.
Selon le bilan de ses contrôles, la CNIL pourra adopter des mises en demeure voire des sanctions à l’égard des organismes à l’encontre desquels des manquements à loi auront été constatés. Parallèlement, une série d’inspection est organisée du 15 au 19 septembre au niveau européen par les autorités de protection locale visant à établir un comparatif des pratiques entre les différents Etats-membres sur les modalités d’information et de recueil du consentement des internautes (« cookie sweep day »).
Ces opérations de contrôle et de veille menées de concert ont également pour objectif de dresser un panorama précis des pratiques et solutions mises en œuvre par les principaux acteurs de l’internet en matière de cookies. Les éditeurs français des contenus et service en ligne réunis au sein du Geste ont d’ores et déjà fait valoir que la mise en application des nouvelles règles de consentement ne s’intégrait pas dans la réalité du marché, s’agissant notamment des cookies de mesure d’audience. Le Geste a donc annoncé que « les éditeurs n’attendront pas l’accord de l’utilisateur pour déposer un cookie de mesures d’audience lors de sa première visite ». Reste à savoir quel sera le verdict de la CNIL à l’issue de ces contrôles.
Sabine DELOGES
Téléchargez cet article au format .pdf
Confirmation en appel du statut d’éditeur d’un site de vente aux enchères et de parking de noms de domaine