Information, consentement et droit d’opposition sur les cookies : la Cnil passe à l’action

Onze mois après sa recommandation relative aux cookies , la Cnil lance sa première vague de contrôles visant à analyser notamment les types de traceurs utilisés par le site Web (cookies HTTP, local shared object (cookies flash), les techniques de finger printing, ...) et la finalité des cookies (internes et tiers). A ce titre, l’organisme utilisera ses pouvoirs de vérifications sur place ainsi que ses nouveaux pouvoirs de contrôle en ligne ( cf encadré).
Dans le cas où la finalité de certains cookies nécessite le consentement de l’internaute (cf encadré), la Commission contrôlera par ailleurs les modalités de recueil du consentement de l’internaute, afin de s’assurer que :

 les cookies nécessitant un consentement ne sont pas déposés ou lus avant que l’internaute n’ait pu exprimer son accord (par exemple, dès l’arrivée sur la page d’accueil) ;

 l’internaute exprime bien son accord par un clic ou en poursuivant sa navigation après la lecture d’un premier bandeau informatif ;

 la solution proposée pour recueillir le consentement est conviviale et ergonomique. A ce titre, la visibilité, la qualité et la simplicité de l’information relative aux cookies seront analysés.

La Cnil s’attachera également à contrôler :

 les conséquences, en cas de refus, des cookies nécessitant un consentement.
Elle vérifiera, par exemple, qu’un site de e-commerce ne propose pas comme seul moyen d’opposition aux cookies le paramétrage du navigateur en bloquant tous les cookies, alors que cette action empêcherait ensuite d’effectuer des achats sur le site ;
 la possibilité de retrait du consentement à tout moment ;

 la durée de vie des cookies et de validité du consentement (13 mois maximum) ;

Enfin, le respect des autres dispositions de la loi Informatique et Libertés applicables aux cookies seront également analysées (sécurité des données, présence de données sensibles, etc).
En fonction du bilan de ces contrôles, la Cnil pourra, si des manquements à la loi ont été relevés, prononcer des mises en demeure et des sanctions.

Cnil : nouveau pouvoir de contrôle en ligne

La loi relative à la consommation du 17 mars 2014, dite loi « Hamon », permet dorénavant à la Cnil de procéder à des contrôles en ligne. En effet, selon la nouvelle rédaction de l’article 44-III de la loi Informatique et Libertés, en dehors des contrôles sur place et sur convocation, les membres de la Commission et les agents habilités peuvent désormais « procéder à toute constatation utile ; ils peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ; ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle ».
Un procès-verbal des vérifications et visites menées sera dressé. Ce, contradictoirement lorsque les vérifications et visites sont effectuées sur place ou sur convocation.
De fait, l’organisme indépendant a indiqué qu’il « pourra ainsi rapidement constater et agir en cas de failles de sécurité sur Internet ». Aussi, « vérifier la conformité des mentions d’information figurant sur les formulaires en ligne, ou des modalités de recueil de consentement des internautes en matière de prospection électronique ».

Des cookies soumis à accord préalable

Selon la Cnil, compte tenu des risques qu’ils entraînent sur la vie privée, les cookies liés aux opérations relatives à la publicité ciblée, des cookies de mesure d’audience et les cookies traceurs des réseaux sociaux générés par les « boutons de partage de réseaux sociaux » nécessitent une information et un consentement préalables des utilisateurs
Ces règles s’appliquent aux cookies déposés et lus, notamment lors de la consultation d’un site Internet, la lecture d’un courrier électronique, l’installation ou l’utilisation d’un logiciel ou d’une application mobile. Et ce, quel que soit le système d’exploitation, le navigateur ou le terminal utilisés (ordinateur, tablette, smartphone , télévision connectée, console de jeux vidéos connectée au réseau Internet).

Les cookies de mesure d’audience limités à la mesure d’audience du contenu visualisé, afin de permettre une évaluation des contenus publiés et de l’ergonomie du site ou de l’application, sont soumis à la simple information préalable. Pour bénéficier de cette exception, ils doivent notamment être limités au seul éditeur, établir des statistiques anonymes, supprimer l’adresse IP une fois la géolocalisation effectuée au niveau de la ville, et avoir une durée de vie de 13 mois maximum.