Comparatif des Lignes Directrices de la CNIL sur les Cookies & Autres Traceurs

octobre 1st, 2020 | Posted by Claude-Etienne Armingaud in cookies

Délibération n° 2019-093 du 4 juillet 20192020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ouet écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») (rectificatif) et abrogeant la délibération NOR : CNIL1920776Z JORF 0166 2019-093 du 194 juillet 2019

La Commission nationale de l’informatique et des libertés,

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

Vu la directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, modifiée par la directive 2009/136/CE du 25 novembre 2009 ;

Vu la directive 2008/63/CE du 20 juin 2008 relative à la concurrence dans les marchés des équipements terminaux de télécommunications, notamment son article 1er ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 8-I-2°b) et 82 ;

Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du Conseil d’État n° 434684 du 19 juin 2020 ;

Vu les lignes directrices sur le consentement au sens du règlement (UE) 2016/679 adoptées le 10 avril 2018 par le groupe de travail « de l’article 29 » sur la protection des données et endossées4 mai 2020 par le Comité européen de la protection des données (CEPD) le 25 mai 2018 ;

Vu la déclaration du 25 mai 2018 du comité européen de la protection des données sur la révision de la directive « vie privée et communications électroniques » et son incidence sur la protection de la vie privée et la confidentialité des communications électroniques ;

Vu l’avis 5/2019 sur la relation entre la directive « vie privée et communications électroniques » et le RGPD, concernant en particulier la compétence, les missions et pouvoirs des autorités de protection des données, adopté par le Comité européen de la protection des données (CEPD) le 12 mars 2019 ;

Vu la délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978 ;

Après avoir entendu M. François PELLEGRINI, commissaire, en son rapport, et Mme Nacima BELKACEMM. Benjamin TOUZANNE, commissaire du Gouvernement, en ses observations,

Adopte les lignes directrices suivantes :

  1. La Commission nationale de l’informatique et des libertés (CNILci-après « la Commission ») est chargée de veiller au respect des dispositionsde l’article 82 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (susvisée (ci-après la loi « Informatique et Libertés »), ainsi que des autres textes relatifs à la protection des données à caractère personnel.
  • LesDans ce cadre, les présentes lignes directrices ont pour objet principal de rappeler et d’expliciter le droit applicable aux opérations de lecture ou écriture dans leet/ou d’écriture d’informations (ci-après « traceurs ») dans l’équipement terminal d’un utilisateurde communications électroniques de l’abonné ou de l’utilisateur, et notamment à l’usage des témoins de connexion (ci-après « cookies et autres traceurs. Elles résultent notamment»). Le cadre légal résulte en particulier des dispositions applicables de la directive du 12 juillet 2002/58/CE modifiée « vie privée et communications électroniques » (ou susvisée (ci-après directive « ePrivacy ») transposée en droit françaisnational à l’article 82 de la loi « Informatique et Libertés », et de la définition du consentement figurantétablie à l’article 4 du règlement général sur la protection des données (RGPD) tel qu’interprété dans(UE) du 27 avril 2016 susvisé (ci-après « RGPD »), que les lignes directrices susvisées du Comité européen de la protection des données (CEPD) ont pour objet d’éclairer.

En cas de manquement à ces dispositions, la Commission rappelle qu’elle peut prendre toutes mesures correctrices et sanctions vis-à-vis des organismes qui y sont  soumis, en application de l’article  3  de la loi, et ce notamment de manière indépendante des dispositions du chapitre VII du RGPD en matière de « coopération et de cohérence », dans la mesure où l’article 82 résulte de la transposition d’une directive distincte.

  • L’article 82 de la loi « Informatique et Libertés » dispose que :

« Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

2° Des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. »

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipementterminaldel’utilisateur :

1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »

  • Cet article, qui transpose l’article 5 (3) de la directive « vie privée et communications électroniques », imposeCes dispositions imposent ainsi le recueil du consentement avant toute action visant à stocker des informations ou à accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, en dehors des exceptions applicables.

La Commission rappelle que les présentes lignes directrices ne concernent que la mise en œuvre des  dispositions de l’article 82 de la loi « Informatique et Libertés »  ; les éventuels traitements de données à caractère personnel utilisant les données collectées via les opérations de lecture ou écriture doivent, par ailleurs, respecter l’ensemble des dispositions légales applicables.

  • Le RGPD est venu renforcer les exigences en matière de consentement des personnes, en apportantapporter des clarifications sur sesles conditions d’obtention du consentement et sur la nécessité d’en démontrer le recueil.
  • Les présentes lignes directrices serontsont complétées ultérieurement par des recommandations sectorielles ayant, non prescriptives et non exhaustives, présentant notamment vocation à préciser les modalitésdes exemples et bonnes pratiques de modalités concrètes du recueil du consentement et de mise en œuvre des traceurs non soumis à ce dernier.

Article 1er – Sur le champ d’application des lignes directrices.

  • Les présentes lignes directrices s’appliquent àconcernent toutes les opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans lel’équipement terminal de l’abonné ou de l’utilisateur d’un service de communications électroniques ou à inscrire des informations dans cet équipementcelui-ci.
  1. La Commission relève que lL’article 1er de la directive 2008/63/CE du 20 juin 2008 susvisée définit l’« équipementl’équipement terminal » comme « tout équipement qui est connecté directement ou indirectement à l’interface d’un réseau public de télécommunications pour transmettre, traiter ou recevoir des informations ; dans les deux cas, direct ou indirect, la connexion peut être établie par fil, fibre optique ou voie électromagnétique ; une connexion est indirecte si un appareil est interposé entre l’équipement terminal et l’interface du réseau public ».
  1. Cette définition englobe de nombreux dispositifs couramment utilisés, tels qu’une tablette, un mobile multifonctionordiphonesmartphone »), un ordinateur fixe ou mobile, une console de jeux vidéo, une télévision connectée, un véhicule connecté, un assistant vocal, ainsi que tout autre objetéquipement terminal connecté à un réseau de télécommunication ouvert au public.
  1. Les présentes lignes directrices s’appliquentconcernent tous les équipements terminaux visés par cette définition, quels que soient les systèmes d’exploitation, ou les logiciels applicatifs (tels que les navigateurs web) ou les terminaux utilisés.
  1. Les lignes directricesElles portent, en particulier, sur l’utilisation des cookies HTTP, par lesquels ces actions de lecture ou écriture sont le plus souvent réalisées, mais ont également vocation à s’appliquer au recours à d’autres techniques :technologies telles que les « local shared objects » (objets locaux partagés) appelés parfois les « cookies Flash », le « local storage » (stockage local) mis en œuvre au sein du standard HTML 5, les identifications par calcul d’empreinte du terminal ou « fingerprinting », les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d’un appareil), etc. Pour l’application des présentes lignes directrices, le mot« traceur » désignera l’ensemble des dispositifs susceptibles d’être visés par l’article 82 de la loi.
  1. Le fait que les informations (stockées et/ou consultées) soient ou non desLes présentes lignes directrices concernent enfin les opérations précitées de lecture et écriture de toute information stockée ou consultée dans un équipement terminal au sens prédéfini, qu’il s’agisse ou non de données à caractère personnel au sens du RGPD n’est pas une condition préalable à l’application de l’article 5,. Les dispositions du paragraphe 3 de l’article 5 de la directive 2002/58/CE. Par« ePrivacy » et, par conséquent, de l’article 82 précité s’applique de la loi « Informatique et Libertés », sont en effet applicables à de telles opérations indépendamment du fait que les données concernées soient à caractère personnel ou non.
  1. Enfin, laLa Commission attire l’attention des organismes concernés sur le faitrappelle que tout traitement portant sur les données produites ou collectées via un traceur, dès lors que cellesui-ci relèvent de la catégorie des données à caractère personnel parfois directement identifiantes (par exemple, une adresse électronique) et souvent indirectement identifiantes (par exemple, l’identifiant unique d’unassocié à un cookie, une adresse IP, un identifiant du terminal ou d’un composant du terminal de l’utilisateur, le résultat du calcul d’empreinte dans le cas d’une technique de « fingerprinting », ou encore un identifiant généré par un logiciel ou un système d’exploitation) – impose le respect des— doit respecter les dispositions du RGPD. et les dispositions pertinentes de la loi « Informatique et Libertés ». Ces traitements ne sont pas concernés par les présentes lignes directrices.

Article 2  – Sur les modalités de recueil du consentement.

  1. En application des dispositions combinées des articles 82de la loi « Informatique et Libertés », et 4 du RGPD et des lignes directrices du CEPD sur le consentement, les traceurs nécessitant un recueil du consentement ne peuvent, sous réserve des exceptions prévues par ces dispositions, être utilisés en écriture ou en lecture tantqu’à condition que l’utilisateur n’a pas préalablementait manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque, par une déclaration ou par un acte positif clair.

S’agissant du caractère libre du consentement

La Commission considère que le consentement ne peut être valable que si la personne concernée est en mesure d’exercer valablement son choix et ne subit pas d’inconvénients majeurs en cas d’absence ou de retrait du consentement.

  1. Afin de déterminer si le consentement est donné librement, le RGPD impose de

« tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat ». Aux termes du considérant 42 du RGPD, qui éclaire l’exigence de liberté du consentement posée par son article 4, « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ». Dans ces conditions, la Commission estime que le fait de subordonner la fourniture d’un service ou l’accès à un site web à l’acceptation d’opérations d’écriture ou de lecture sur le terminal de l’utilisateur (pratique dite de « cookie wall ») est susceptible de porter atteinte, dans certains cas, à la liberté du consentement.

A ce titre, la Commission rappelle que le CEPD, dans sa « déclaration sur la révision  de la directive « ePrivacy » et  son incidence sur la protection de la vie privée et la confidentialité des communications électroniques », a considéré que la pratique qui consiste à bloquer  l’accès à un site web  ou à une application mobile pour qui ne consent pas à être suivi (« cookie walls ») n’est pas conforme au RGPD. Le CEPD considère en effet que, dans une telle hypothèse, les utilisateurs ne sont pas en mesure de refuser le recours à des traceurs sans subir des conséquences négatives (en l’occurrence l’impossibilité d’accéder au site consulté).

  1. En cas de mise en place de « cookie wall », et sous réserve de la licéité de cette pratique qui doit être appréciée au cas par cas, l’information fournie à l’utilisateur devrait clairement indiquer les conséquences de ses choix et notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement.
  1. Enfin aux termes du considérant 43 du RGPD, « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que celasoit approprié dans le cas d’espèce ». À cet égard, la Commission estime que le fait de recueillir de manière simultanée un consentement unique pour plusieurs opérations de traitement répondant à des finalités distinctes (le couplage de finalités), sans possibilité d’accepter ou de refuser finalité par finalité, est également susceptible d’affecter, dans certains cas, la liberté de choix de l’utilisateur et donc la validité de son consentement.

S’agissant du caractère spécifique du consentement

La Commission rappelle que la personne concernée doit être en mesure de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte. Le fait d’offrir par ailleurs à la personne la possibilité de consentir de manière globale est acceptable, à condition que cela s’ajoute, sans la remplacer, à la possibilité de consentir spécifiquement à chaque finalité.

A ce titre, l’acceptation  globale de conditions générales d’utilisation  ne peut être une modalité valable de recueil du consentement, dans la mesure où celui-ci ne pourra être donné de manière distincte pour chaque finalité.

  • La Commission rappelle que le consentement aux opérations de lecture et écriture doit être spécifique. A ce titre, le consentement à ces opérations ne peut être valablement recueilli via une acceptation globale de conditions générales d’utilisation.

S’agissant du caractère éclairé du consentement

  • La Commission rappelle que le consentement des personnes doit être éclairé conformément, d’une part, aux dispositions des articles 4(11), 7, 13 du RGPD et, d’autre part, aux dispositions de l’article 82 de la loi « Informatique et Libertés ».
  • La Commission rappelle que l’information doit être rédigée en des termes simples et compréhensibles pourpar tous,  et qu’elle doit permettre aux utilisateurs d’être parfaitementdûment informés des différentes finalités des traceurs utilisés. Elle considère que l’utilisation d’une terminologie juridique ou technique trop complexe ne répond pas à l’exigence d’information préalableest susceptible de rendre incompréhensible cette information par les utilisateurs.
  • La Commission rappelle que l’information doit être complète, visible,  et mise en évidence au moment du recueil du consentement. Un simple renvoi vers les conditions générales d’utilisation ne saurait suffire.
  • LesA minima, la fourniture des informations devant être portées à la connaissance dessuivantes aux utilisateurs, préalablement au recueil dude leur consentement, en application de l’article 82, sont à minimaest nécessaire pour assurer le caractère éclairé de ce dernier :
  • l’identité du ou des responsables de traitement des opérations de lecture ou écriture ;
    • la finalité des opérations de lecture ou écriture des données ;
    • la manière d’accepter ou de refuser les traceurs ;
    • les conséquences qui s’attachent à un refus ou une acceptation des traceurs ;
    • l’existence du droit de retirer son consentement.

Lorsqu’un traitement de données à caractère personnel suit l’opération de lecture ou écriture et que celui-ci est fondé sur le consentement, l’information préalable donnée aux utilisateurs doit être alors complétée afin de satisfaire aux exigences des lignes directrices du CEPD sur le consentement.

  • La Commission rappelle qu’afin que le consentement soit éclairé, l’utilisateur doit pouvoir identifier le ou les responsables ainsi que l’ensemble des entités ayant recours à des traceurs avant de pouvoir y consentirresponsables conjoints des traitements, avant d’être mis en mesure d’exprimer son choix. Ainsi, la liste exhaustive et régulièrement mise à jour de ces entités doit être mise à disposition auprès de l’utilisateur directement lors du recueil de son consentementrendue accessible de façon simple aux utilisateurs.

S’agissant du caractère univoque du consentement

  • La Commission souligne que, conformément à l’article 4(11) du RGPD, le consentement doit se manifester par le biais d’une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer. Le fait de l’exprimer.
  • Elle considère donc que continuer à naviguer sur un site web, d’à utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable.La Commission rappelle que la Cour de justice de l’Union européenne (CJUE) a jugé dans sa décision Planet 49 du 1er octobre 2019 (CJUE, 1er oct. 2019, C-673/17) Elle considère également que l’utilisation de cases pré-cochées, tout comme l’acceptation globale de conditions générales d’utilisation, ne peuvent être considérées ne peut être considérée comme un acte positif clair visant à donner son consentement.En l’absence de consentement exprimé par un acte positif clair, l’utilisateur doit être considéré comme ayant refusé l’accès à son terminal ou l’inscription d’informations dans ce dernier.
  • Des systèmes adaptés doivent doncdevraient être mis en place pour recueillir le consentement selon des modalités pratiques qui permettentpermettant aux utilisateurs de bénéficier de solutions conviviales et ergonomiques.simples  d’usage. La Commission  renvoie sur ce point à sa recommandation n°2020-092 du 17 septembre 2020.

Sur la preuve du consentement

  • L’article 77.1 du RGPD impose que le consentement soit démontrable, ce qui signifie que les organismes exploitant des traceurs doivent mettre en œuvre des mécanismes leur permettant, responsables du ou des traitements, soient en mesure de démontrerfournir, à tout moment, qu’ils ont valablement recueilli le consentement des utilisateurs. Dans la situation où ces organismes ne recueillent pas eux-mêmes le consentement des personnes, la Commission rappelle qu’une telle obligation ne saurait être remplie par la seule présence d’une clause contractuelle engageant l’une des organisations à recueillir un consentement valable pour le compte de l’autre partie.la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

Sur le refus et le retrait du consentement

  • La Commission observe que si le consentement doit se traduire par une action positive de l’utilisateur, le refus de ce dernier peut se déduire de son silence. L’expression du refus de l’utilisateur ne doit donc nécessiter aucune démarche de sa part ou doit pouvoir se traduire par une action présentant le même degré de simplicité que celle permettant d’exprimer son consentement.
  • De plus, Lla Commission rappelle qu’ilque, conformément à l’article 7.3 du RGPD, il doit être aussi facile de refuser ousimple de retirer son consentement que de le donner. Cela signifie notamment que les personnesLes utilisateurs ayant donné leur consentement à l’utilisation de traceurs doivent être mis en mesure de le retirer simplement et à tout moment. Des solutions conviviales doivent donc être mises en œuvre pour que les personnes puissent retirer leur consentement aussi facilement qu’elles ont pu le donner.

Article 3 – Sur la qualification des acteurs Sur les rôles et responsabilités des acteurs.

  • Les technologies concernéestraceurs concernés par l’obligation de recueil du consentement n’impliquent pas systématiquement de traitement de données à caractère personnel. Toutefois, dans un grand nombre de cas, les opérations de lecture ou écriture concerneront des données à caractère personnel et feront partie intégrante d’undont le traitement de données à caractère personnelsera soumis aux autres dispositions de la loi « Informatique et Libertés » et du RGPD, ce qui implique la nécessité de qualifier les parties concernées.
  • Si, dans un certains nombre de cas, l’utilisation de traceurs fait intervenir une seule entité qui est donc pleinement responsable de l’obligation de recueillir le consentement (par exemple, un éditeur de site web qui a recours à des traceurs pour réaliser lui-même les statistiques d’usage de son servicepersonnaliser le contenu éditorial proposé à l’internaute), dans d’autres cas, plusieurs acteurs contribuent à la réalisation des opérations de lecture ou écriture visées par les présentes lignes directrices (par exemple, un éditeur de site web et une régie publicitaire déposant des cookiestraceurs lors de la consultation du site web). Dans ces derniers cas, ces entités peuvent être considérées comme responsables dedoivent déterminer leur statut au regard du traitement « uniques », responsables conjoints ou comme sous-traitantsréalisé.

La Commission constate que, dans d’autres cas, les tiers ayant recours à des traceurs seront pleinement et indépendamment responsables des traceurs qu’ils mettent en œuvre, ce qui signifie qu’ils devront assumer indépendamment l’obligation  de recueillir le consentement des utilisateurs.

3.1 Responsabilité conjointe et obligations des responsables du ou des traitements

  • La Commission rappelle que l’éditeur d’un site qui dépose des traceurs doit être considéré comme un responsable de traitement, y compris lorsqu’il sous-traite à des tiers la gestion de ces traceurs mis en place pour son propre compte.
  • Doivent également être considérés comme responsables de traitement les tiers qui utilisent des traceurs sur un service édité par un autre organisme, par exemple en déposant des traceurs à l’occasion de la visite du site d’un éditeur, dès lors qu’ils agissent pour leur propre compte. Dans ce cas de figure, le Conseil d’État a jugé, dans sa décision du 6 juin 2018, qu’au titre des obligations qui pèsent sur l’éditeur de site, figurent celle de s’assurer auprès de ses partenaires, d’une part, qu’ils n’émettent pas, par l’intermédiaire du site de l’éditeur, des traceurs qui ne respectent pas la règlementation applicable en France et, d’autre part, celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements.
  • Dès lors, l’organisme qui autorise l’utilisation de traceurs, y compris par des tiers, depuis son site ou application mobile, doit s’assurer de la présence effective d’un mécanisme permettant de recueillir le consentement des utilisateurs.
  • De manière générale, la Commission observe que les éditeurs de sites ou d’applications mobiles, du fait du contact direct qu’ils ont avec l’utilisateur, sont souvent les plus à même de porter à la connaissance de ces derniers l’information sur les traceurs déposés et de collecter leur consentement.
  • Pour les opérations visées par l’article 82, comme la CJUE l’a également jugé dans un cas similaire (CJUE, 29 juill. 2019, aff. C-40/17, Fashion ID GmbH & Co. KG c. / Verbraucherzentrale NRW eV), l’éditeur du site ou de l’application mobile et le tiers déposant des traceurs sont réputés être responsables conjoints du traitement dans la mesure où ils déterminent conjointement les finalités et les moyens des opérations de lecture et écriture sur l’équipement terminal des utilisateurs.
  • Dans le cas d’une responsabilité conjointe, dans le cadre de laquelle les responsables déterminent conjointementensemble les finalités et les moyens du traitement, la Commission rappelle qu’aux termesque, conformément aux dispositions de l’article 26 du RGPD, ils devrontdoivent définir de manière transparente leurs obligations respectives aux fins d’assurer  le respect des exigences du RGPD, en particulier en ce qui concerne le recueil et la démonstration, le cas échéant, d’un consentement valable.

3.2. Sous-traitance

  • Enfin, est qualifié de sous-traitant unLa Commission rappelle qu’un acteur qui inscrit des informationsstocke et/ou accède à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur,  exclusivement pour le compte d’un responsable de traitement et sans réutilisation pour son propre compte des données collectées via le traceur. La Commissiontiers doit être considéré comme sous-traitant. Elle rappelle, à cet égard, que si une relation de sous-traitance est établie, le responsable de traitement et le sous-traitant doivent établir un contrat ou un autre acte juridique précisant les obligations de chaque partie, dans le respect des dispositions de l’article 28 du RGPD.
  • La Commission rappelle également que, conformément à l’article 28.3 du RGPD, le sous-traitant doit aider le responsable du traitement à respecter certaines de ses obligations et notamment celles relatives aux demandes d’exercice des droits des personnes.
  • Enfin, le sous-traitant doit notamment informer ce dernier si l’une de ses instructions constitue une violation des textes applicables en matière de protection des données à caractère personnel.

Article 4  – Sur les paramètres du terminal.

  • L’article 82 de la loi précise que le consentement peut résulter de paramètres appropriés du dispositif de connexion de la personne ou de tout autre dispositif placé sous son contrôle.
  1. LaNéanmoins, à la date d’adoption des présentes lignes directrices, la Commission considère que ces paramétrages du navigateur ne peuventestime, en l’état des connaissances dont elle dispose et sans préjudice d’une possible évolution de la technique, que les possibilités de paramétrage des navigateurs et des systèmes d’exploitation ne peuvent, à eux seuls, permettre à l’utilisateur d’exprimer la manifestation d’un consentement valide.

 En effetTout d’abord, si les navigateurs web proposent de nombreux réglages permettant aux utilisateurs d’exprimer des choix en matière de gestion des cookies, force est de constater que et autres traceurs, ceux-ci sont généralement exprimés aujourd’hui dans des conditions ne permettant pas d’assurer un niveau suffisant d’information préalable des personnes, de nature à respecter les principes rappelés dans les présentes lignes directrices.

Ensuite, quels que soient les mécanismes existants, les navigateurs ne permettent pas de distinguer les cookies en fonction de leurs finalités, ce qui signifie que l’utilisateur n’est pas non plus en mesure de consentir de manière spécifique pour chaque finalité.

Enfin, les paramétrages du navigateur ne permettent pas aujourd’hui d’exprimer un choix sur d’autres technologies que les cookies (telle que le fingerprinting par exemple) à des fins de suivi de la navigation.

Toutefois, les navigateurs pourraient évoluer afin d’intégrer des mécanismes permettant de recueillir un consentement conforme au RGPD. La Commission considère qu’une telle évolution serait de nature à garantir, d’une part, que les internautes disposent d’outils efficaces et simples leur permettant de consentir de façon simple et, d’autre part, que les éditeurs qui ne disposent pas des moyens ou des compétences pour mettre en place des mécanismes de recueil du consentement puissent s’appuyer sur de tels mécanismes.

  • En outre, les navigateurs ne permettent pas, à ce jour, de distinguer les traceurs en fonction de leurs finalités, alors même que cette distinction peut s’avérer nécessaire pour garantir la liberté du consentement.

Articles 5 – Sur le cas spécifique desles traceurs exemptés de mesure d’audience.consentement

Un éditeur peut avoir besoin de mesurer l’audience de son site web ou de son application, ou bien de tester des versions différentes afin d’optimiser ses choix éditoriaux en fonction de leurs performances respectives. Des traceurs sont fréquemment utilisés pour cette finalité et ces dispositifs peuvent, dans certains cas, être regardés comme nécessaires à la fourniture du service explicitement demandé par l’utilisateur, sans présenter de caractère particulièrement intrusif pour ceux-ci, et ainsi être exemptés du recueil du consentement. Par exemple, les statistiques de fréquentation et les tests visant à mesurer les performances relatives de différentes versions d’un même site web (couramment appelés « tests A/B ») permettent notamment aux éditeurs de détecter des problèmes de navigation dans leur site ou leur application ou encore d’organiser les contenus.

Dès lors, la Commission considère que peuvent bénéficier de cette exemption au recueil du consentement, les traitements respectant les conditions suivantes :

– ils doivent être mis en œuvre par l’éditeur du site ou bien par son sous-traitant ;

– la personne doit être informée préalablement à leur mise en œuvre ;

– elle doit disposer de la faculté de s’y opposer par l’intermédiaire d’un mécanisme d’opposition facilement utilisable sur l’ensemble des terminaux, des systèmes d’exploitation, des applications et des navigateurs web. Aucune opération de lecture ou d’écriture ne doit avoir lieu sur le terminal depuis lequel la personne s’est opposée ;

– la finalité du dispositif doit être limitée à (i) la mesure d’audience du contenu visualisé afin de permettre l’évaluation des contenus publiés et l’ergonomie du site ou de l’application, (ii) la segmentation de l’audience du site web en cohortes afin d’évaluer l’efficacité des choix éditoriaux, sans que cela ne conduise à cibler une personne unique et (iii) la modification dynamique d’un site de façon globale. Les données à caractère personnel collectées ne doivent pas être recoupées avec d’autres traitements (fichiers clients ou statistiques de fréquentation d’autres sites, par exemple) ni transmises à des tiers. L’utilisation des traceurs doit également être strictement cantonnée à la production de statistiques anonymes. Sa portée doit être limitée à un seul éditeur de site ou d’application mobile et ne doit pas permettre le suivi de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web ;

– l’utilisation de l’adresse IP pour géolocaliser l’internaute ne doit pas fournir une information plus précise que la ville. L’adresse IP collectée doit également être supprimée ou anonymisée une fois la géolocalisation effectuée ;

– les traceurs utilisés par ces traitements ne doivent pas avoir une durée de vie excédant treize mois et cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites. Les informations collectées par l’intermédiaire des traceurs doivent être conservées pendant une durée de vingt-cinq mois maximum.

Article 6

Sur les opérations de lecture ou écriture non soumises au consentement préalable.

L’article 82 prévoit que l’exigence du consentement préalable ne s’applique pas si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; ou

est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

  • La loi n’impose pas non plus d’offrir la possibilité de s’opposer à l’utilisation des traceurs permettant ou facilitantPour rappel, l’exigence de consentement ne s’applique pas aux opérations qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique,  ou encoresont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse des l’utilisateurs.

Toutefois, afin d’assurer une transparence pleine et entière sur ces opérations, les utilisateurs doivent être informés de leur existence et de leur finalité en intégrant, par exemple, une mention dans la politique de confidentialité des organisations y ayant recours.

  • Les traceurs ne sortent du champ d’application de l’exigence de consentement que s’ils sont utilisés exclusivement pour une ou plusieurs finalités qui peuvent se rattacher aux exceptions prévues par l’article 82 de la loi « Informatique et Libertés ».
  • La Commission précise, à cet égard, que l’utilisation d’un même traceur pour plusieurs finalités, dont certaines n’entrent pas dans le cadre de ces exemptions, nécessite de recueillir préalablement le consentement des personnes concernées, dans les conditions rappelées par les présentes lignes directrices. À titre d’exemple, dans le cas d’un service offert via une plate-forme nécessitant l’authentification des usagers («univers logué »), l’éditeur du service pourra utiliser un cookie pour authentifier les utilisateurs sans demander leur consentement (car ce cookie est strictement nécessaire à la fourniture du service de communication en ligne). En revanche, il ne pourra utiliser ce même cookie pour des finalités publicitaires que si ces derniers ont effectivement consenti préalablement à cette finalité spécifique.

Traceurs exemptés du recueil du consentement

  • En l’état des pratiques portées à sa connaissance, la Commission estime que les traceurs suivants peuvent, notamment, être regardés comme exemptés :
    • les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
    • les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
    • les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur le ou les produits et/ou services achetés ;
    • les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
    • les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
    • les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
    • certains traceurs de mesure d’audience, sous les réserves mentionnées ci-après.

Cas spécifique des traceurs de mesure d’audience

  • La gestion d’un site web ou d’une application requiert presque systématiquement l’utilisation de statistiques de fréquentation et/ou de performance. Ces mesures sont dans de nombreux cas indispensables au bon fonctionnement du site ou de l’application et donc à la fourniture du service. En conséquence, la Commission considère que les traceurs dont la finalité se limite à la mesure de l’audience du site ou de l’application, pour répondre à différents besoins (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de l’ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consultés, etc.) sont strictement nécessaires au fonctionnement et aux opérations d’administration courante d’un site web ou d’une application et ne sont donc pas soumis, en application de l’article 82 de la loi « Informatique et Libertés », à l’obligation légale de recueil préalable du consentement de l’internaute.
  • Afin de se limiter à ce qui est strictement nécessaire à la fourniture du service, la Commission souligne que ces traceurs doivent avoir une finalité strictement limitée à la seule mesure de l’audience sur le site ou l’application pour le compte exclusif de l’éditeur. Ces traceurs ne doivent notamment pas permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web. De même, ces traceurs doivent uniquement servir à produire des données statistiques anonymes, et les données à caractère personnel collectées ne peuvent être recoupées avec d’autres traitements ni transmises à des tiers, ces différentes opérations n’étant pas non plus nécessaires au fonctionnement du service.
  • Plus généralement, la Commission rappelle que les traitements de mesure d’audience sont des traitements de données à caractère personnel qui sont soumis à l’ensemble des dispositions pertinentes du RGPD.

Article 7 6Abrogation de la recommandation n° 2013-378 du 5 décembre 2013.délibération n° 2019-093 du 4 juillet 2019

  • La présente délibération abroge la délibération n° 2013-378 du 5 décembre 20132019-093 du 4 juillet 2019 portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-IIde lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur.
  • La présente délibération sera publiée au Journal officiel de la République française.

La Présidente

Marie-Laure DENIS

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Leave a Reply

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *