J’en suis à me demander si je comprends quelque chose au droit des cookies. Je ne vous parle pas de ces exquis petits gâteaux de l’oncle Sam mais de ce que la loi appelle les « témoins de connexion » et d’autres des « mouchards informatiques ». Les cookies ce sont ces petits programmes qui font un peu tout et n’importe quoi. Ils peuvent par exemple vous simplifier la vie en pré-remplissant des formulaires de collectes ; mais ils peuvent aussi vous la pourrir…
Vous avez eu le malheur de faire une recherche sur internet car vous voulez acheter un canapé clic clac pour 2 personnes et vlan pendant des jours et des jours vous ne voyez plus que des pubs pour des clic clac ou autres canapés (histoire vraie).
En pratique on voit aussi tout et n’importe quoi …
- Il y a ceux qui mettent un bandeau et ceux qui n’en mettent pas
- Lorsqu’il y a un bandeau, il y a ceux qui écrivent blanc et ceux qui écrivent noir
- Il y a ceux qui ont une « politique cookies » dédiée et ceux qui l’incluent dans la politique de protection des données personnelles ;
- Il y a ceux qui mettent un outil de gestion des cookies et ceux qui renvoient aux paramètres cookies des navigateurs ; je ne parle même pas des solutions mixtes !
- Il y a ceux qui imposent le passage pas la gestion des paramètres avant de pouvoir « rentrer sur le site » et ceux qui vous laissent entrer selon la formule consacrée suivante « en poursuivant votre navigation vous acceptez… blablabla »
- Il y a les cookies du site lui-même et les « cookies tiers »
Et je ne rentre même pas dans la technique avec les cookies http, les cookies flash, les web bugs, le fingerprinting ou encore les pixels invisibles. Comprenne qui pourra !
Alors je me suis rendu à la source : dura lex sed lex !
Commençons par une précision. Le RGPD ne dit mot sur les cookies sauf le considérant 30 :
« (30) Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes ».
Le régime applicable aux cookies résulte de l’article 32 II de la loi Informatique et libertés du 6 janvier 1978 telle qu’issue de la transposition de la directive « vie privée et communication électronique » du 12 juillet 2002. La version la plus récente du texte, soit la loi du 20 juin 2018, ne modifie pas cette disposition, rédigée comme suit :
« II. – Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
– de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
– des moyens dont il dispose pour s’y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :
– soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
– soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ».
Sauf si je ne sais pas lire il y a donc deux cas. Les cookies pour lesquels il faut une information claire et complète et pour lesquels l’usage même du cookie est soumis à l’accord de l’internaute. Et le cas où rien n’est imposé…
Commençons donc par le plus simple
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :
– soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
– soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ».
CQFD : ni information ni accord pour ces cookies-là.
La Cnil donne d’ailleurs une liste de cookies pour lesquels le consentement n’est pas requis.
Pour les autres, il est clair qu’il faut :
- Un bandeau pour accéder à l’information
- Une politique pour satisfaire à la notion de « clarté » et de « complétude »
Je ne vois nulle part que le site ne doit être accessible sauf si l’internaute accepte les cookies ! Mais évidemment je ne peux pas vous empêcher de le faire…
Reste la question des moyens relatifs à l’accord de l’internaute. Là encore le texte est on ne peut plus clair « son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ». Qui a vu ou lu que l’usage de CMP (Consent plateform management) était obligatoire ?
L’accord peut résulter selon le texte SOIT d’un dispositif placé sous le contrôle de l’internaute… SOIT de paramètres appropriés dans le dispositif de connexion de l’internaute (comprenez « navigateur »).
Donc si vous me suivez bien s’il est possible d’utiliser une CMP rien ne vous interdit de renvoyer, comme au bon vieux temps, l’internaute aux modalités de paramétrage de son navigateur préféré.
La Cnil précise d’ailleurs sur son site ceci :
Une dernière question ma taraude. Si j’utilise un CMP faut-il travailler par « finalités » ou faut-il faire un travail cookie par cookie ? Entre nous travailler cookie par cookie me semble pratiquement impossible mais en tout état de cause il me semble que la Cnil a déjà répondu à cette question en précisant qu’il fallait raisonner par finalité et non par cookies.
Voici ce que dit l’autorité sur ce point
Ou encore
A aucun moment il est demandé ou imposé de détailler l’information, cookie par cookie.
En résumé,
- Il vous faut connaître vos cookies pour savoir quel droit y appliquer
- Si vous n’avez que des cookies « techniques » pas de souci, ni information ni consentement
- Si vous avez des cookies plus « intrusif » alors il vous faut un bandeau et une politique
- S’agissant de la manière de recueillir l’accord de l’internaute rien n’impose une CMP
- Si CMP il y a, il est possible de proposer une solution par finalité (et non par cookie)
- Et rappelez-vous que vous êtes en partie responsable des cookies de tiers (Cf CE 6 juin 2018)
- Surtout ne pas oublier la durée de validité de l’accord : 13 mois, pas un de plus !
J’espère avoir raison, évidemment cela n’engage que moi… Et pour assez peu de temps finalement puisque nous devrions prochainement avoir un nouveau droit des cookies avec le règlement e-privacy