La Commission nationale de l'informatique et des libertés (CNIL) a rendu public son projet de recommandation au sujet des cookies et, plus largement, des conditions de pistage de l'internaute et de son consentement. Voici les principaux points à retenir.

C’est un projet de recommandation qui doit servir à éclairer les entreprises sur les bonnes pratiques à suivre en matière de dépôt de cookies, de consentement de l’internaute et de pistage en ligne, notamment à des fins publicitaires. Long de 21 pages, le document est mis à disposition du public depuis le 14 janvier, dans le cadre d’une consultation qui s’achèvera le 25 février 2020.

Rédigé par la Commission nationale de l’informatique et des libertés (CNIL), et désormais soumis au vote à travers une série de thèmes (consentement, usage des cookies, rôle des navigateurs, preuve, etc.), ce projet complète plusieurs dispositions prises par l’autorité administrative indépendante dans le cadre du Règlement général sur la protection des données (RGPD).

L’été dernier, la CNIL annonçait ainsi que le simple fait de poursuivre une navigation sur un site web ne constitue plus une expression valide du consentement pour le dépôt de cookies. Par ailleurs, les sociétés qui exploitent ces traceurs doivent pouvoir démontrer qu’elles ont bien recueilli le consentement de l’internaute, et dans les règles de l’art, avec un avis éclairé, libre, univoque et spécifique.

Les cookies, aussi appelés témoins de connexion, sont des fichiers qui sont stockés sur votre ordinateur par le navigateur web. Les objectifs qu’ils remplissent sont divers : ils permettent par exemple à un site de reconnaître un visiteur, de façon à ce qu’il n’ait pas besoin de se reconnecter. Ils peuvent aussi servir à des fins publicitaires et de pistage — c’est pour cela qu’ils sont aussi décrits comme des traceurs.

Le projet de recommandation mis en débat par la CNIL comporte un certain nombre d’orientations, décrites à travers 73 points. Sans en faire un inventaire à la Prévert, plusieurs éléments méritent d’être soulignés. En effet, ils concernent aussi bien la manière dont est affichée la demande de consentement à l’internaute que sa durée, mais aussi sa portée et sa mise en œuvre.

Marie-Laure Denis cnil
Marie-Laure Denis, présidente de la CNIL. // Source : DR-CSA

Possibilité de ne pas faire de choix

La CNIL considère que l’internaute doit avoir la possibilité de ne pas faire de choix lorsqu’il se connecte à un site web qui lui demande son consentement. Dans ce cas, il faut que sur l’interface servant à recueillir l’approbation de l’intéressé figure une croix de fermeture (ou tout autre élément équivalent) permettant de la faire disparaître. Cliquer en dehors de cette fenêtre peut aussi être une possibilité.

Dans ces conditions, le site doit temporairement traiter ce visiteur comme un individu ayant refusé de donner son consentement (en effet, il faut une démarche active pour que celui-ci soit valable). Par contre, le site a la possibilité, à chaque fois que l’utilisateur revient sur le site, de lui présenter la fenêtre servant à recueillir ledit consentement, jusqu’à ce qu’il tranche dans un sens ou dans l’autre.

Consentement cookies
Le projet de recommandation défend la possibilité de laisser à l’internaute le choix de retarder sa décision. // Source : CNIL

Le refus doit être aussi visible que l’acceptation

La fenêtre de consentement de l’internaute doit être loyale. Pour la CNIL, il faut donc que la représentation graphique des boutons « tout accepter » et « tout refuser » (ou quel que soit leur nom) soit similaire, afin d’éviter que le visiteur ne soit incité à agir d’une façon plutôt que d’une autre — ce qui s’apparente sinon à des interfaces truquées, ou dark patterns, qui visent à manipuler la décision individuelle.

Pour le dire plus simplement, il n’est plus possible de présenter un énorme bouton vert « tout accepter », en grosses lettres et une police d’écriture aguicheuse, à côté d’un autre bouton, voire d’une simple ligne sans aucun encadrement esthétique, avec la formulation vague « plus d’options » en petits caractères et avec une couleur grisâtre qui n’attire absolument pas l’œil.

La présentation doit être similaire entre le refus et l’acceptation. // Source : CNIL

Vérification régulière du choix de l’internaute

Qu’il s’agisse du refus ou de l’acceptation des cookies, la CNIL estime que la durée de validité du choix de l’internaute doit être de six mois. En effet, il s’agit de vérifier à des intervalles « appropriés » que le visiteur est toujours d’accord avec la posture qu’il a prise la première fois. L’autorité fait observer que le consentement « peut être oublié par les personnes » et qu’elles peuvent changer d’avis.

Exemption pour certains cookies

Tous les cookies ne se valent pas. En outre, comme le rappelle la CNIL, le recueil du consentement n’est pas exigé pour les « opérations qui ont pour finalité exclusive de permettre ou faciliter [l’usage d’un service en ligne] » ou qui sont « strictement nécessaires à la fourniture d’un service en ligne à la demande expresse de l’utilisateur ». Dans ce cas, le consentement est supposé donné.

Sont concernés les cookies persistants de personnalisation de l’interface utilisateur (le choix de la langue, par exemple), les cookies de panier d’achat pour un site marchand afin de garder la liste des produits sélectionnés, les cookies servant à l’analyse et à la mesure de l’audience, les cookies d’authentification sur un service ou encore les cookies pour limiter l’accès gratuit à des contenus payants.

ebay-shopping-e-commerce-ordinateur
Dans certains cas, aucun consentement n’est recueilli préalablement. // Source : Negative Space

Être authentifié ne dit rien du consentement

La CNIL soutient par ailleurs que l’authentification d’un internaute auprès d’un service ne dit rien de son choix en matière de collecte de données et du dépôt de cookies. « Le fait que l’utilisateur soit authentifié ne dispense pas de recueillir son consentement […] dès lors que des traceurs soumis au consentement sont utilisés ». Connecté ou non, il faut collecter le consentement de la même manière.

L’adhésion aux CGU n’est pas un feu vert global

« L’utilisateur doit se voir offrir la possibilité de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte », rappelle la CNIL dans son projet de recommandation. Or, il n’est pas possible d’obtenir ce consentement spécifique en validant d’un coup des conditions générales d’utilisation (CGU) ou de vente. Il faut un accord par finalité de traitement.

Vers un consentement dans le navigateur

Et si les navigateurs web comme Chrome, Firefox, Edge, Safari ou Opera intégraient des « mécanismes de recueil du consentement » pour informer directement les sites visités des choix des particuliers, plutôt que ces derniers aient à renseigner, site par site, ce qu’ils souhaitent ? C’est une piste que la CNIL explore dans son projet de recommandation, en invitant les éditeurs à creuser cette voie, qui permettrait somme toute une interface utilisateur moins lourde et moins pénible pour les visiteurs. Côté Apple, Safari est déjà en avance sur le blocage des cookies tiers, mais ne demande pas à l’utilisateur d’exprimer un choix.

Cela « faciliterait tant la mise en place de mécanismes de recueil du consentement pour les éditeurs de sites et d’applications mobiles que l’expression des choix des utilisateurs », note la Commission. En l’état actuel, « les paramétrages du navigateur ne peuvent, en l’état de la technique, permettre à l’utilisateur d’exprimer la manifestation d’un consentement valide ». Mais rien ne dit que cela doit perdurer ainsi.

Firefox
Et si le choix de l’internaute pouvait être inclus dans le navigateur pour informer automatiquement les sites web de ses préférences ? // Source : Mozilla

Crédit photo de la une : Lisa Fotios

Partager sur les réseaux sociaux