La CNIL publie de nouvelles lignes directrices en matière de cookies

Délibération n°2019-093 du 4 juillet 2019

Par une délibération en date du 4 juillet 2019, la CNIL publie de nouvelles lignes directrices relatives aux opérations de lecture ou écriture dans le terminal d’un abonné ou utilisateur, et notamment à l’utilisation de cookies et autres traceurs. La CNIL œuvre ainsi dans le sillage du Règlement européen sur la protection des données qui a renforcé le régime juridique relatif au consentement.

Dans ce contexte, l’article 82 de la loi Informatique et Libertés modifiée impose de recueillir le consentement de la personne concernée (tout abonné ou utilisateur d’un service de communications électroniques) avant toute action qui viserait au stockage ou à l’accès à des informations stockées sur son terminal.

De cet article découlent deux actions distinctes imposées au responsable de traitement : une première se caractérisant par la délivrance d’une information claire et complète, la seconde se caractérisant par le recueil du consentement de l’abonné ou de l’utilisateur.  

Dans ce contexte, les nouvelles lignes directrices précisent que l’abonné ou l’utilisateur doit avoir préalablement exprimer sa volonté de manière « libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair ». En outre, l’abonné ou l’utilisateur doit consentir indépendamment et spécifiquement pour chaque finalité. La Commission rappelle que la poursuite de la navigation, l’utilisation d’une application mobile, le fait de faire défier une page (scrolling), l’utilisation de cases pré-cochées ou encore l’acceptation globale de conditions générales d’utilisation ne constituent point un recueil de consentement valable.

Les responsables de traitement doivent ainsi recueillir un consentement valable, être en mesure de prouver ledit recueil et fournir une information claire et transparente.

En effet, les lignes directrices rappellent les caractéristiques de l’information délivrée aux personnes concernées. Celle-ci doit être « complète, visible, et mise en évidence au moment du recueil du consentement ». Quant au contenu de l’information, la CNIL priorise trois éléments principaux : l’identité du ou des responsable(s) de traitement, la finalité des opérations de lecture ou écriture des données, et l’existence du droit de retirer son consentement

Rappelons dans ce cadre que certains cookies et traceurs ne sont pas soumis au recueil du consentement. Il s’agit des cookies et traceurs ayant pour finalité « exclusive de permettre ou faciliter la communication par voie électronique » ou « strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ». Les lignes directrices précisent que bien que le recueil du consentement soit exclu, une information complète doit être délivrée aux abonnées ou utilisateurs.

Ces nouvelles lignes directrices intègrent le plan d’action de la CNIL relatif au ciblage publicitaire et ont vocation à abroger la délibération de la CNIL en date de 2013 portant adoption d’une recommandation relative aux cookies et autres traceurs.

Une nouvelle recommandation présentera en 2020 le mode opératoire de recueil du consentement et parachèvera les lignes directrices de juillet dernier. Les entités concernées disposeront dès lors d’une période de six mois pour se conformer à ce nouveau texte.

A rapprocher : Délibération n°2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) (rectificatif) ; Cookies et autres traceurs : la CNIL publie de nouvelles lignes directrices

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…