Cookies et traceurs, les sites web ont jusqu’à mars 2021 pour se mettre en conformité


La Cnil a publié ses lignes directrices et sa recommandation sur les cookies et les autres traceurs, le 1er octobre. Les sites web ont jusqu’à mars 2021 pour se mettre en conformité.  La Cnil se félicite de cette évolution des règles applicables qui doit permettre aux internautes d’exercer un meilleur contrôle sur les traceurs en ligne.

Recueillir le consentement des internautes avant toute opération

 L’article 82 de la loi Informatique et Libertés transpose en droit français l’article 5.3 de la directive 2002/58/CE « vie privée et communications électroniques » (ou « ePrivacy »). Il prévoit l’obligation, sauf exception, de recueillir le consentement des internautes avant toute opération d’écriture ou de lecture de cookies et autres traceurs.


Les personnes doivent consentir au dépôt de traceurs par un acte positif clair comme le fait de cliquer sur « j’accepte »

La Cnil rappelle ses grands principes. Concernant le consentement des utilisateurs, la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute ; les personnes doivent consentir au dépôt de traceurs par un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil.

Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment. Refuser les traceurs doit être aussi aisé que de les accepter. ​Concernant l’information des personnes, elles doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs ; elles doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement. Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

Certains traceurs exemptés de déclaration

Certains traceurs sont cependant exemptés du recueil de consentement, comme par exemple les traceurs destinés à l’authentification auprès d’un service, ceux destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand, certains traceurs visant à générer des statistiques de fréquentation, ou ceux permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs.

La Cnil suggère que les sites internet conservent le refus des internautes pendant une certaine période

Par ailleurs la Cnil recommande que l’interface de recueil du consentement ne comprenne pas seulement un bouton « tout accepter » mais aussi un bouton « tout refuser ». Elle suggère que les sites internet, qui généralement conservent pendant une certaine durée le consentement aux traceurs, conservent également le refus des internautes pendant une certaine période, afin de ne pas réinterroger l’internaute à chacune de ses visites.

Pour que l’utilisateur soit bien conscient de la portée de son consentement, la Cnil recommande que, lorsque des traceurs permettent un suivi sur des sites autres que le site visité, le consentement soit recueilli sur chacun des sites concernés par ce suivi de navigation.

Une FAQ rédigée par la Cnil

Afin de répondre aux questions des acteurs concernés et des internautes, la Cnil propose une FAQ accompagnement la publication des lignes directrices et de la recommandation. La Cnil invite tous les acteurs concernés à s’assurer de la conformité de leurs pratiques aux exigences du RGPD et de la directive ePrivacy. Elle estime que le délai de mise en conformité aux nouvelles règles ne devra pas dépasser six mois, soit au plus tard fin mars 2021.

La Cnil annonce qu’elle tiendra compte des difficultés opérationnelles des opérateurs pendant cette période durant laquelle elle privilégiera l’accompagnement sur les contrôles, elle se réserve la possibilité de poursuivre certains manquements, notamment en cas d’atteinte particulièrement grave au droit au respect de la vie privée (CE, 16 octobre 2019, n° 433069, Rec.). En outre, la Cnil continuera à poursuivre les manquements aux règles relatives aux cookies antérieures à l’entrée en vigueur du RGPD, éclairées par sa recommandation du 5 décembre 2013.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *