Qui sommes-nous ?

Métiers & Expertises

Enjeux & Solutions

Blog & Actualités

Nos publications

Contactez-nous

Réglementation sur les cookies : l’histoire sans fin

Réglementation sur les cookies : l’histoire sans fin

Découvrez les points essentiels des dernières évolutions doctrinales et jurisprudentielles en matière de cookies, ainsi que les prochaines étapes.

Le processus réglementaire national en cours, visant à poser un cadre juridique clair et sûr à la gestion des cookies, n’est pas un long fleuve tranquille. Des recommandations de la CNIL prévues prochainement devraient permettre d’y voir plus clair, au moins jusqu’à l’adoption finale d’un règlement européen sur le sujet, à la gestation particulièrement longue.

 

Rappel chronologique 

  • Directive 2002/58 du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques : premier texte européen à encadrer la gestion des cookies. Elle pose le principe d’un consentement préalable de l’utilisateur avant le stockage d’informations.
  • Directive 2009/136 du 25 novembre 2009 reprend ce principe en imposant un consentement posé après information claire et complète de l’utilisateur du site.
  • 04 juillet 2019 : la CNIL adopte des lignes directrices relatives aux cookies et autres traceurs visant à synthétiser le droit applicable. Avec ces lignes directrices, la CNIL souhaite préciser les règles posées par le RGPD en matière de consentement. Elle estime que la pratique des cookies walls est interdite (visant à interdire la navigation sur un site en cas de refus de dépôt de cookies).
  • 19 juin 2020 : le Conseil d’Etat invalide partiellement les lignes directrices de la CNIL en estimant qu’elle n’a pas autorité à interdire.
  • 19 juin 2020 : communiqué de presse de la CNIL qui prend acte de la décision du Conseil d’Etat avec ajustement prochain de ses lignes directrices et adoption d’une recommandation après la rentrée de septembre 2020.

Points essentiels des dernières évolutions doctrinales et jurisprudentielles

Les événements réglementaires précités de ces derniers mois ont mis en lumière les difficultés relatives à l’imbrication du RGPD avec la directive de 2009 (et bien entendu ses transpositions nationales), points délicats que le règlement européen sur les cookies en cours de négociation est censé régler.

Le point central du revirement doctrinal de la CNIL, que certains estimeront bien tardif, réside dans l’affirmation que la poursuite de navigation sur un site ne peut plus constituer l’expression d’un consentement valide. C’est le RGPD qui a posé une définition stable de celui-ci, qui doit être une manifestation de volonté libre, spécifique, éclairée et univoque, par un acte positif clair.

Ainsi, la pratique du cookies wall empêche une décision libre de l’internaute, et une poursuite de navigation seule ne constitue pas un acte positif clair.

La personne doit être informée préalablement à la mise en œuvre de cookies, et doit disposer de la faculté de s’y opposer.

L’éditeur du site, en tant que responsable de traitement au sens du RGPD, doit pouvoir démontrer à tout moment qu’il a valablement recueilli le consentement de chaque personne navigant sur son site. La CNIL recommande ainsi que l’enregistrement de l’information permettant la bonne prise en compte du consentement s’effectue par le mécanisme de recueil du consentement, c’est-à-dire via le traceur dans le cas d’un navigateur web, ou bien via le paramètre utilisé pour stocker l’information du consentement dans le cas d’une application mobile. Les données ainsi enregistrées peuvent inclure un horodatage du consentement, le contexte dans lequel le consentement a été recueilli (identification du site web ou de l’application mobile), le type de mécanisme de recueil du consentement utilisé, et les finalités auxquelles l’utilisateur a consenti.

Prochaines étapes

A échéance dernier trimestre 2020, la CNIL devrait publier une recommandation pour préciser les modalités pratiques de recueil du consentement, avec ensuite un moratoire de 6 mois pour sa mise en œuvre, par les professionnels entre autres.

Le règlement européen sur les communications électroniques dont on espère l’adoption dans les 2 ans donnera ensuite le « la » sur ses questions, dont l’harmonisation de ses principes avec le RGPD est très fortement souhaitée.

La crise économique européenne actuelle, et concomitamment les enjeux concurrentiels mondiaux du numérique au sens large, devraient pousser les acteurs du processus législatif au sein de l’Union Européenne à adopter des dispositions pragmatiques.

 

Découvrez ou redécouvrez notre article sur l’IA: quelles dispositions réglementaires en France ?

Vous souhaitez nous contacter ?

Besoin d'une information sur nos solutions ? Envie de nous rejoindre ?
L'équipe Ellisphere est là pour répondre à vos questions.

Nous contacter

Entrez en contact avec l'équipe Ellisphere

Écrivez-nous

Charte transparence

Vous souhaitez connaître le score de votre entreprise ?

Votre score

Newsletter

Découvrez les derniers articles de notre blog

Abonnez-vous