Les cookies, ces fichiers que les sites enregistrent sur les terminaux utilisés pour naviguer sur le Web, sont depuis longtemps sous l’œil des autorités en charge de la protection des données personnelles. S’ils sont nécessaires pour bénéficier des multiples fonctionnalités offertes par les sites Internet, ces fichiers sont également utilisés pour recueillir des informations du type « adresse IP ».
Après l’adoption, en 2009, d’une directive au niveau européen, le législateur français a, en 2011, amendé la loi Informatique et libertés, et notamment précisé que l’utilisateur doit exprimer son accord après avoir été informé de manière claire et complète, sauf pour les cookies bénéficiant d’une exemption. Les conditions pratiques dans lesquelles le consentement doit être recueilli laissent néanmoins place à de nombreuses interprétations. La Cnil, après divers échanges avec les principaux acteurs du domaine, a dans ce cadre émis le 5 décembre 2013 une recommandation.
Après avoir rappelé que l’information doit être visible, mise en évidence et complète, la Commission recommande qu’elle soit rédigée en des termes simples et compréhensibles par tous. Le consentement ne pouvant être valablement donné que si l’utilisateur peut exercer un choix, la Cnil précise que la personne qui refuse un cookie (ou toute autre technologie assimilable) doit pouvoir continuer à bénéficier du service. Partant de ces principes, la Cnil recommande une procédure de recueil du consentement en deux étapes.
La première étape se matérialise par l’apparition d’un bandeau sur le site qui mentionne les finalités précises des cookies utilisés, la possibilité de s’opposer à ceux-ci et de changer les paramètres en cliquant sur un lien, et le fait que la poursuite de la navigation vaut accord pour le dépôt de cookies. La Cnil admet donc que le simple fait de poursuivre la navigation vaut consentement, décision saluée par les parties prenantes qui redoutaient l’adoption d’une position plus contraignante. La seconde étape vise à informer les utilisateurs des solutions mises à leur disposition pour accepter (ou refuser) tout ou partie des cookies par catégories de finalités, à savoir généralement la publicité, les réseaux sociaux et les mesures d’audience.
Au-delà, la Cnil rappelle que le reste de l’arsenal protecteur des libertés doit être respecté, et notamment que le droit d’accès et d’opposition doit pouvoir être exercé ou encore que le consentement donné doit pouvoir être retiré à tout moment. Elle préconise que les cookies et autres technologies utilisées aient une durée de vie limitée à treize mois. Quant aux responsabilités, la Cnil, prenant en compte la multiplicité des intervenants, pose un principe de coresponsabilité des éditeurs et de leurs partenaires (régies publicitaires, réseaux sociaux, etc.).
L’adoption de cette recommandation, associée aux nouveaux pouvoirs de contrôle en ligne issus de la récente loi relative à la consommation, annonce certainement, à l’instar de nos voisins espagnols, la fin de la tolérance dont ont, jusqu’à présent, bénéficié les sites Web en matière de cookies.