Le 31 mars 2021 marque la fin du délai de clémence accordé par la CNIL aux entreprises pour se mettre en conformité avec les principes et limites dans l’utilisation des données collectées par le biais de cookies et autres traceurs.

Dans le cadre de son plan d’action sur le ciblage publicitaire en ligne, la Cnil avait accordé un délai de 6 mois à compter de la publication des lignes directrices modificatives et de la recommandation portant sur l’usage des cookies pour que les acteurs concernés se mettent en conformité avec les nouvelles règles. Ces lignes directrices ayant été adoptées le 1^er octobre 2020, la période d’adaptation accordée arrive à son terme le 31 mars 2021.

« Concernant le consentement des utilisateurs :
1. La simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute ;
2. Les personnes doivent consentir au dépôt de traceurs par un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil ;
3. Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment ;
4. Refuser les traceurs doit être aussi aisé que de les accepter.

Concernant l’information des personnes :
5. Elles doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs ;
6. Elles doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement.
7. Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur « .

Par ailleurs, l’utilisateur doit pouvoir accepter ou refuser les cookies avec le même degré de simplicité. la CNIL recommande que l’interface de recueil du consentement ne comprenne non seulement un bouton « tout accepter » mais aussi un bouton « tout refuser« . La seule présence d’un bouton « paramétrer » en complément du bouton « tout accepter » tend, en pratique, à dissuader le refus et ne permet donc pas de se mettre en conformité avec les exigences posées par le RGPD.

La CNIL suggére que les sites internet, qui généralement conservent pendant une certaine durée le consentement aux traceurs, conservent également le refus des internautes pendant une certaine période, afin de ne pas les réinterroger à chacune de leurs visites.
Dorénavant donc,

• Le dépôt automatique de cookies marketing sans le recueil préalable du consentement de la personne n’est plus acceptable ;
• En matière de prospection commerciale entre professionnels, la CNIL rappelle que l’existence d’un lien direct avec l’activité professionnelle des prospects est nécessaire pour justifier d’un intérêt légitime et dispenser l’entreprise d’un consentement du prospect ;
• Les courriels de prospection commerciale à l’attention d’un particulier sans consentement et sans lien direct avec l’activité professionnelle de la personne sont illicites ;
• L’émetteur des courriels doit être en mesure d’apporter la preuve du consentement de la personne, surtout si les données ont été achetées à un tiers et notamment un « data broker » ;
• Le consentement de la personne ne peut être valable que s’il est accompagné d’une information présentée de manière efficace, succincte et surtout distincte des autres contenus informatifs 

Conjointement aux lignes directrices concernant les cookies, la CNIL a mis en place un observatoire qui vise à analyser les pratiques en matière de dépôt de cookies des 1 000 sites à plus forte audience en France, en analysant les cookies déposés sur la première page vue par un internaute les consultant. Les principaux résultats et la méthodologie appliquée sont disponibles sur le site de la LINC, le laboratoire d’Innovation Numérique de la CNIL.

Sur la base de ces résultats et pour sensibiliser aux risques en cas de non-conformité, la CNIL a décidé de s’adresser par courrier aux sites web à forte audience en France qui déposent des cookies provenant de plus de 6 domaines tiers sans consentement préalable.

Parallèlement à son action vers les organismes publics, elle leur a également rappelé que le renforcement des exigences posées par le RGPD en matière de consentement rend nécessaire une évolution des interfaces de recueil des choix des utilisateurs d’applications ou de sites web recourant aux techniques de traçage (par exemple lorsqu’ils intègrent des contenus provenant de sources externes tels que des boutons de réseaux sociaux).

La CNIL précise que le courrier, ne s’inscrit pas à ce stade dans le cadre d’une procédure formelle et n’appelle pas de réponse de la part des entreprises.

S’il était constaté que le consentement des internautes à l’utilisation de traceurs n’était pas valablement recueilli, un manquement à la loi « informatique et libertés » serait caractérisé. La CNIL se réserve alors la possibilité de faire usage de l’ensemble de ses pouvoirs, y compris, de sanction.

• Les « spammeurs » seront punis, même si ceux-ci sont des TPE et des PME, elles seront sanctionnées et pourront être soumises à des astreintes quotidiennes tant qu’elles ne seront pas en conformité ;
• La CNIL sanctionnera les contrevenants en s’appuyant notamment sur les signalements transmis par l’association Signal Spam. Au cours du 4ème trimestre 2020, 5 698 640 signalements ont été adressés par des internautes à l’association Signal Spam, dont 84,4 % de ceux-ci étaient relatifs à la prospection commerciale. Signal Spam fournit aux agents de la CNIL un rapport sur les campagnes d’e-mail marketing les plus signalées par les internautes français, et adresse également des rapports d’information pouvant, le cas échéant, être requalifiés comme plainte auprès des services de la CNIL. Cette coopération est à l’origine de plusieurs sanctions prononcées récemment. 

Deux entreprises ont fait notamment les frais de ces nouvelles réglementations, faisant ainsi figure d’exemples : Carrefour Banque et Amazon, respectivement le 18 novembre 2020 et le 7 décembre 2020.

Carrefour Banque ne respectait pas l’article 82 de la loi Informatique et Libertés puisque sur son site web, plusieurs cookies nécessitaient le consentement de l’utilisateur. En effet, à partir du moment où le cookie n’est pas strictement limité à la seule mesure de l’audience du site ou de l’application, il nécessite le consentement de l’utilisateur. Or, Carrefour ne le demandait pas : les cookies étaient déposés sur le terminal dès la connexion à la page d’accueil du site et avant toute action de sa part. La société a été condamnée à une sanction de 850 000 euros.

Pour Amazon, la CNIL a constaté que lorsqu’un internaute se rendait sur l’une des pages du site amazon.fr, des cookies à vocation publicitaire (donc non-essentiels) étaient instantanément déposés sur son ordinateur, sans action de sa part. On le rappelle, étant donné que ceux-ci sont non-essentiels au fonctionnement du site, ils ne peuvent être déposés qu’après que l’internaute ait exprimé son consentement.

En plus, l’autorité de contrôle a considéré que les wordings (les intitulés présents sur le bandeau cookies) utilisés pour informer les internautes de l’utilisation des cookies étaient « des descriptions générales et approximatives des finalités de l’ensemble des cookies déposés ». La description était la suivante : « En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services… »

Donc, l’utilisateur n’était pas à même de comprendre que les cookies déposés affichaient des publicités personnalisées. La CNIL a également relevé que le bandeau n’indiquait pas à l’utilisateur qu’il avait le droit de refuser ces cookies et les moyens dont il dispose à cette fin.

À noter qu’un nombre important de personnes ont été concernées par ce manquement : 300 millions d’identifiants Amazon ont été attribués en France de 9 mois. Côté sanction, Amazon a été condamné à payer une amende de 35 millions d’euros.

Au regard de ces condamnations, la conformité des cookies apparaît évidemment nécessaire. 

Autant dire qu’une entreprise condamnée à ce type de sanction remettrait sa santé économique en cause. D’où l’importance d’être conseillé et accompagné dans votre processus de mise en conformité.

Pour rappel, si un manquement est constaté, une entreprise peut être condamnée à une amende administrative allant jusqu’à 10 millions d’euros ou 2% du chiffre d’affaire annuel mondial de la société. Pour les manquements les plus graves, ce montant peut s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

La CNIL va procéder à des contrôles formels à compter du mois d’avril 2021. 

N’hésitez-pas à nous poser des questions ou nous faire part de sujets que vous souhaiteriez voir traiter 

Auteur : Maitre Yael Wolmark 
Publié le 30 mars 2021

Spécialisée en droit des nouvelles technologies, de l’information, de la communication et de la propriété intellectuelle, Yaël WOLMARK, Avocat au Barreau de Paris et Médiateur Européen. Art & Industry Protection porte un projet singulier : accompagner chacune des étapes de la protection, du développement national, européen, international, économique et juridique des actifs immatériels des entreprises.