Fiche pratique : Nouvelles règles pour les traceurs
En juillet 2019, la CNIL édictait des lignes directrices sur les traceurs (cf notre article du 8 novembre 2019). Le Conseil d’État en ayant annulé certaines dispositions, la CNIL a adopté le 17 septembre 2020 des lignes directrices modificatives.
Les traceurs sont de petits fichiers déposés par des tiers, notamment lors de la consultation d’un site internet (nous ne traiterons ici que de ces traceurs, utilisés par de nombreuses entreprises pour leurs sites), sur l’ordinateur ou autre terminal d’une personne, pour permettre à ces tiers de reconnaître l’ordinateur et de lire ou d’enregistrer des informations dans le terminal. Les règles d’utilisation des traceurs s’appliquent à tous les types de terminaux (ordinateurs, smartphones, tablettes numériques, consoles de jeux vidéo connectées à internet et tout autre équipement terminal connecté à un réseau de télécommunication ouvert au public).
INFORMATION DE L’INTERNAUTE SUR L’UTILISATION DE TRACEURS
Arrivé sur le site, l’internaute doit être informé clairement et synthétiquement de l’usage et des finalités des traceurs (publicité et contenu personnalisés, partage d’informations avec les réseaux sociaux, mesure de la performance publicitaire et du contenu…), de l’identité de tous les utilisateurs des traceurs du site soumis au consentement de l’internaute, ainsi que des conséquences d’une acceptation ou d’un refus de(s) traceurs. Les sites ne peuvent pas se contenter d’informations générales comme « Ce site utilise des cookies » ou « Des cookies sont utilisés pour améliorer l’efficacité des services qui vous sont proposés ».
TRACEURS EXEMPTÉS DE CONSENTEMENT
L’accord de l’internaute n’est pas nécessaire pour utiliser sur le site des traceurs strictement nécessaires à la fourniture d’un service en ligne expressément demandé par l’internaute, ou visant à permettre ou faciliter la transmission de la communication par voie électronique : traceurs d’authentification de l’internaute pour l’accès au service, traceurs de personnalisation des choix de l’internaute (ex. : choix de la langue), traceurs visant à garder en mémoire le contenu d’un panier d’achat ou à facturer l’achat, traceurs conservant le choix exprimé par l’internaute sur le dépôt de traceurs, traceurs visant à générer des statistiques de fréquentation… Sont aussi exemptés du recueil du consentement les traceurs dont la finalité se limite strictement à la mesure de l’audience du site ou de l’application, pour répondre à différents besoins (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de l’ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consultés, etc.). Toutefois, informer l’internaute de l’utilisation de ces traceurs peut être utile pour lui rappeler que s’il peut les bloquer avec des réglages de son navigateur, ce blocage peut altérer le fonctionnement du site.
RECUEIL DU CONSENTEMENT POUR LES AUTRES TRACEURS
Le site ne doit pouvoir utiliser les traceurs que si l’internaute l’a expressément accepté par un acte positif clair (ex. : cliquer sur « j’accepte » dans une bannière). La poursuite par l’internaute de sa navigation sur le site ne peut donc pas être considérée comme l’acceptation de l’implantation de traceurs. L’utilisation de cases pré-cochées ne peut pas non plus être considérée comme un consentement de l’internaute. Par ailleurs, lorsque des traceurs permettent un suivi sur d’autres sites que celui visité, la CNIL recommande que le consentement de l’internaute soit recueilli sur chacun des sites concernés par ce suivi. Certains d’entre eux utilisent un « cookie wall », système subordonnant l’accès au site à l’acceptation des cookies par l’internaute. Dans ses lignes directrices de 2019, la CNIL interdisait cette pratique au motif que l’internaute ne devait pas subir d’inconvénients majeurs en cas d’absence, de refus ou de retrait de consentement aux traceurs. Le Conseil d’Etat ayant annulé cette interdiction, la CNIL indique dans ses lignes directrices de 2020 que l’utilisation d’un « cookie wall » pouvant dans certains cas porter atteinte à la liberté de consentement de l’internaute, celui-ci doit être clairement informé des conséquences de ses choix, notamment de l’impossibilité d’accéder au contenu ou au service s’il refuse les traceurs. L’internaute doit également pouvoir refuser les traceurs aussi facilement qu’il peut les accepter (la CNIL recommande que sur l’interface de recueil du consentement ne figure pas qu’un bouton « tout accepter » mais aussi un bouton « tout refuser ») et pouvoir facilement retirer son consentement et à tout moment. Dans tous les cas, les exploitants des traceurs sur le site internet doivent pouvoir prouver à tout moment qu’ils ont valablement recueilli le consentement libre, éclairé, spécifique et univoque de l’internaute.