Communication du GESTE sur son site internet : http://www.geste.fr/activites/cnil-annonces-et-calendrier
Depuis l’entrée en vigueur du RGPD, une grande partie de l’attention s’est focalisée sur les cookies. Pourtant, même s’ils permettent la réalisation de traitements de données soumis au RGPD, les règles spécifiques à l’utilisation des cookies procèdent d’un autre pan de la règlementation européenne : la directive « E-Privacy », qui fait actuellement l’objet d’une réforme pour être elle aussi transformée en règlement (le futur « règlement E-Privacy »).
C’est pourquoi la CNIL avait indiqué que sa recommandation sur les cookies, datant de 2013, était toujours d’actualité après le RGPD. Cependant, l’industrie de la publicité en ligne a pris les devants en réfléchissant à de nouveaux mécanismes d’information et de gestion du consentement des internautes (en particulier par l’adoption des fameuses « CMP » – « Cookies Management Platforms »).
Alors que le futur règlement dit « E-Privacy » est toujours en discussion (voir ci-après), la CNIL a finalement annoncé à plusieurs organisations professionnelles (le GESTE, le SRI, l’IAB, l’UDM, l’UDECAM, la FEVAD, la SNCD, la MMA, l’ARPP et l’AACC) qu’elle travaillait actuellement à l’évolution de ses recommandations sur les cookies.
Voici le calendrier de travail communiqué par la CNIL :
– Mai – Juin 2019 : actualisation de la recommandation de 2013 avec le RGPD ;
– Juin – Sept 2019 : groupe de travail avec les acteurs concernés afin de tester la cohérence opérationnelle de futures lignes directrices ;
– Novembre 2019 : bilan des travaux ;
– Fin 2019 – Début 2020 : publication des nouvelles lignes directrices relatives aux cookies ;
– Juin – Juillet 2020 : fin de la période de tolérance, les acteurs doivent se mettre en conformité avec les règles issues des nouvelles lignes directrices.
Ce que ne précise pas la CNIL, c’est si l’actualisation de la norme de 2013 avec le RGPD ne sera que « cosmétique », ou entrainera déjà des modifications de fonds. L’annonce de la CNIL confirme cependant que, en l’état, la recommandation est toujours applicable.
Surtout, il n’est fait aucunement état du futur règlement E-Privacy. A l’origine, ce règlement était prévu pour entrer en application le 25 mai 2018 – en même temps que le RGPD. Cependant, la procédure législative a pris un retard conséquent. Alors que le premier projet avait été présenté le 10 janvier 2017 par la Commission européenne, et adopté après modification le 26 octobre de cette même année par le Parlement européen, il est depuis lors toujours en discussion au sein du Conseil de l’Europe qui en a publié une énième version le 13 mars 2019. Il faudra ensuite que le trilogue mène ses travaux et s’accorde sur un texte définitif. En conséquence, l’entrée en vigueur du règlement E-Privacy n’est pas attendue avant fin 2020-début 2021 au plus tôt, étant précisé que ce texte devrait prévoir une période de transition repoussant son entrée en application d’un ou deux ans.
Le calendrier de la CNIL semble donc difficilement compatible avec celui des institutions européennes, si bien que les futures lignes directrices relatives aux cookies ne devraient pas intégrer pas la nouvelle règlementation. Cela parait étrange, et sera facteur d’insécurité juridique puisque les lignes directrices devront forcément être modifiées peu de temps après leur publication.