CNIL - Projet de recommandation sur les Cookies


En vue d'accompagner les professionnels la Commission a souhaité compléter ses lignes directrices par une recommandation, encore à l'état de projet, visant à décrire les modalités pratiques de recueil d'un consentement.

La CNIL a décidé d’engager une consultation publique sur le projet de recommandation. Cette consultation, disponible pendant 6 semaines, prendra fin le 25 février. À l’issue de cette période, une nouvelle version du projet de recommandation sera présentée aux membres de la CNIL réunis en séance plénière pour adoption définitive.

Le projet de recommandation détaille l'obligation d'information (II) et les modalités d'acceptation (III), mais avant toute chose il convient de voir son champ d'application (I).



I. Champ d'application


Acteurs concernés. La recommandation concerne tant les traceurs utilisés par l'éditeur d'un site que ceux utilisés par des tiers. La Commission rappelle en effet que le responsable du ou des traitements est la personne physique ou morale qui, seule ou conjointement, décide de la finalité et détermine les moyens et l'opération.

Mais la Commission met en avant la responsabilité des éditeurs de site, qui devraient s'assurer de la présence d'un mécanisme permettant de recueillir le consentement, car ils sont les "plus à même de porter à la connaissance des utilisateurs l'information sur les traceurs {...} du fait du contrôle qu'ils exercent sur l'interface".


Traceurs concernés. La Commission exempte certains traceurs du recueil du consentement. C'est en particulier le cas pour les traceurs:

  • qui sont strictement nécessaires à la fourniture du service de communication en ligne

  • destinés à garder en mémoire le contenu d'un panier d'achat

  • de personnalisation de l'interface utilisateur

  • permettant aux sites payants de limiter l'accès gratuit à leur contenu à une quantité prédéfinie ou sur une période limitée (ex: sites journalistiques)



II. Information


L'utilisateur doit recevoir une information conforme à la Loi Informatique et Liberté (LIL) et au règlement général sur la protection des données (RGPD). Il doit recevoir une information sur les finalités des traceurs (1.), leur portée (2.) et sur les responsables de traitement (3.).


1. Finalités


Premier niveau d'information. Les finalités doivent être formulées de manière intelligible. Afin d'en faciliter la lecture, la Commission recommande que chaque finalité soit mise en exergue dans un intitulé court.


Second niveau d'information. La Commission recommande de faire figurer une description plus détaillée de ces finalités par un bouton de déroulement ou par un lien hypertexte. Concernant le contenu de cette information additionnelle, le responsable de traitement doit expliquer les différentes opérations techniques, par exemple: l'affichage de la publicité, la lutte contre la fraude au clic (détection d'éditeurs prétendant réaliser une audience publicitaire supérieure à la réalité), la mesure des cibles ayant plus d'appétences à la publicité pour mieux comprendre l'audience.




2. Portée


Premier niveau d'information. L'utilisateur doit être conscient de la portée de son consentement, il devrait notamment savoir si ce dernier est valable pour le suivi de navigation sur d'autres sites ou applications.


Second niveau d'information. La liste de la totalité des sites web ou applications mobiles concernées peut être rendue accessible via un lien hypertexte ou un bouton situé sur le premier niveau du mécanisme de consentement.


3. Responsable de traitement

Premier niveau d'information. A titre de bonne pratique, le nombre de responsables du ou des traitements doit être indiqué.


Second niveau d'information. La liste exhaustive des responsables du ou des traitement devrait être mise à la disposition de l'utilisateur d'un bouton ou d'un lien hypertexte depuis le premier niveau. La commission recommande d'utiliser la dénomination "liste des sociétés utilisant des traceurs sur notre site/application".

Afin d'assurer une meilleure compréhension, le rôle des responsables du traitement pourrait être mis en évidence en les regroupant par (finalité de leur activité/finalité des traceurs utilisés.



Mise à jour non substantielle de la liste des responsable de traitements. La Commission recommande également la mise en place d'un mécanisme permettant de prendre connaissance de la liste à jour au moyen d'une icône "cookie" ou d'un lien hypertexte en bas de page.

Le fait que celle-ci ait subi une modification pourrait être utilement mis en valeur par un changement de couleur ou par une animation particulière de ce lien. Au sein de la liste il est une bonne pratique d'attirer l'attention des utilisateurs sur les responsables de traitement ayant rejoint la liste.


Mise à jour substantielle de la liste des responsables de traitements. Attention en cas de mise à jour quantitativement ou qualitativement substantielle de la liste des responsables de traitement, le consentement devrait être redemandé avant la poursuite des opérations.



III. Modalités de recueil du consentement


Il convient ici de voir l'acceptation et le refus (1), le retrait (2) ainsi que la durée (3) du consentement.


1. Acceptation et refus


Parallélisme entre acceptation et refus. Le responsable doit offrir la possibilité d'accepter ou de refuser les opérations de lecture et/ou d'écriture avec le même degré de simplicité. Il est recommandé d'utiliser des boutons et une police d'écriture de même taille, offrant la même facilité de lecture et mis en évidence de manière identique.

L'utilisateur ne doit pas subir de préjudice s'il choisit de refuser, ce qui implique notamment que le refus doit être enregistré pour une durée au moins identique à celle pour laquelle le consentement est enregistré.


Personnalisation des choix. La possibilité de consentir de manière granulaire peut-être offerte via un bouton "personnaliser mes choix" inséré sur le même niveau d'information que les boutons "tout accepter"et "tout refuser'.

La personnalisation peut se faire au moyen de cases à cocher, décochées par défaut, ou par le recours à des "sliders", désactivés par défaut.


Absence de choix. Afin de permettre à l'utilisateur de ne pas faire de choix, le responsable du ou des traitements peut intégrer une croix de fermeture. En l'absence de toute manifestation de choix aucun traceur nécessitant le consentement ne devrait être déposé. La situation est donc similaire à un refus à l'exception que l'utilisateur pourrait être sollicité de nouveau.


Pratiques trompeuses. Les interfaces ne doivent pas utiliser de pratiques design potentiellement trompeuses telles que l'usage d'une grammaire visuelle qui pourrait laisser penser que le consentement est obligatoire.

Les "sliders" ou cases de personnalisation ne doivent pas être rédigés de telle manière qu'une lecture rapide pourrait laisser croire de l'option sélectionnée produit l'inverse de ce que l'utilisateur pensait choisir.


2. Durée


Durée. Les utilisateurs doivent être informés de la durée de validité de leur consentement si un telle durée a été définie. A défaut, la Commission recommande que le consentement soit renouvelé à des intervalles appropriés, de manière générale elle estime qu'une durée de validité de six mois à partir de l'expression du consentement est adaptée.

Pour rappel le refus doit être enregistré pour une durée au moins identique à celle pour laquelle le consentement est enregistré.



3. Retrait

Retrait. Il doit être simple de retirer son consentement. Les utilisateurs doivent être informés des solutions mises à leur disposition pour retirer leur consentement. voire de la durée de validité de leur consentement si un telle durée a été définie.

Les solutions leurs permettant de retirer leurs consentement doivent être aisément accessibles. La Commission recommande d'utiliser une dénomination descriptive telle que "module de gestion des cookies", "gérer mes cookies", "cookies" ou encore au moyen d'une icône "cookie".



- Hadrien ROSE





Source :

CNIL, "Projet de recommandation - Sur les modalités pratiques de recueil du consentement prévu par l'article 82 de la loi du 6 janvier 1978 modifiée, concernant les opérations d'accès ou d'inscription d'informations dans le terminal d'un utilisateur (recommandation "cookies et autres traceurs" ).

Ce site internet est édité par l'Association des étudiants du Master 2 DC2EN

Parrain.png
  • Facebook
  • LinkedIn - Gris Cercle
  • Twitter
  • Instagram