Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Le Conseil d’État annule partiellement les lignes directrices de la CNIL relatives aux cookies
    Le Conseil d’État estime que la CNIL ne peut pas légalement interdire dans ses lignes directrices les « cookie walls »,
    mais s'oppose à l'interdiction des « cookie walls »

    À la suite de l’entrée en vigueur du règlement général sur la protection des données (RGPD), la Commission nationale de l’informatique et des libertés (CNIL) a adopté en 2019 de nouvelles lignes directrices relatives aux « cookies » et autres traceurs de connexion déposés par les éditeurs de sites internet sur les dispositifs des utilisateurs à des fins, notamment, de ciblage publicitaire.

    Des lignes directrices qui concernent le recueil du consentement avant mise en place de cookies sur le terminal de l’utilisateur ou leur exploitation, pour ceux déjà installés. Nous pouvons y lire que :

    « tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :

    « 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

    « 2° Des moyens dont il dispose pour s'y opposer.

    « Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ».

    Concernant le champ d'application des lignes directrices, il est très large : tablette, mobile multifonction (smartphone), ordinateur fixe ou mobile, console de jeux vidéo, télévision connectée, véhicule connecté, assistant vocal, ainsi que tout autre objet connecté à un réseau de télécommunication ouvert au public

    Il va d’ailleurs au-delà des seuls cookies HTTP : « les lignes directrices portent sur l'utilisation des cookies HTTP, par lesquels ces actions sont le plus souvent réalisées, mais ont également vocation à s'appliquer au recours à d'autres techniques : les local shared objects (objets locaux partagés) appelés parfois les cookies Flash , le local storage (stockage local) mis en œuvre au sein du HTML 5, les identifications par calcul d'empreinte du terminal, les identifiants générés par les systèmes d'exploitation (qu'ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d'un appareil), etc. »

    La CNIL a estimé que «le fait de continuer à naviguer sur un site web, d'utiliser une application mobile ou bien de faire défiler la page d'un site web ou d'une application mobile ne constitue pas des actions positives claires assimilables à un consentement valable ». De même, pas de cases précochées ou d’acceptation globale des CGU. Cependant, la CNIL a laissé un délai de 12 mois aux acteurs du Web pour s'y conformer, justifiant cette période de grâce par « l’exigence juridique de prévisibilité, en cas de changement des règles applicables, résultant notamment de la Convention européenne des droits de l’homme ».


    Diverses associations professionnelles ont saisi le Conseil d’État d’une requête tendant à l’annulation de ces lignes directrices. Il s’agissait notamment de l’association des agences-conseils en communication, la fédération du e-commerce et de la vente à distance, le groupement des éditeurs de contenus et services en ligne, l’Interactive Advertising Bureau France, la Mobile Marketing Association France, le syndicat national communication directe de la data à la logistique, le syndicat des régies internet, l’union des entreprises de conseil et d’achat media et l’union des marques, qui ont demandé au Conseil d’État à titre principal, d’annuler pour excès de pouvoir cette délibération du 4 juillet 2019 de la CNIL.

    Par la décision du 19 juin 2020, le Conseil d’État juge qu’en déduisant une telle interdiction de la seule exigence d’un consentement libre de l’utilisateur au dépôt de traceurs, posée par le règlement général sur la protection des données (RGPD), la CNIL a excédé ce qu’elle pouvait légalement faire dans le cadre d’un acte dit « de droit souple ». Les actes de droit souple désignent les instruments, tels que les lignes directrices des autorités de régulation, qui ne créent pas de droit ou d’obligation juridique pour quiconque, mais influencent fortement, dans les faits, les pratiques des opérateurs économiques. Sans se prononcer sur le fond de la question, le Conseil d’État considère que la CNIL ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue.

    Le consentement de l’utilisateur doit être précédé d’une information spécifique pour chacune des finalités du traitement de données

    Les requérants critiquaient également le point des lignes directrices précisant que les utilisateurs doivent « être en mesure de donner leur consentement de façon indépendante et spécifique pour chaque finalité distincte ».

    La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés impose que le consentement de l’utilisateur préalable au dépôt de traceurs porte sur chacune des finalités du traitement des données recueillies. Le Conseil d’État précise que cette exigence implique, lorsque le recueil du consentement est effectué de manière globale, qu’il soit précédé d’une information spécifique à chacune des finalités. Le Conseil d’État juge que le passage contesté des lignes directrices se borne à rappeler cette exigence, sans imposer aux opérateurs des modalités techniques particulières (consentement global ou finalité par finalité) pour le recueil du consentement.

    Le Conseil d’État confirme par ailleurs la légalité des autres points contestés des lignes directrices, concernant notamment la facilité de refus ou de retrait du consentement aux cookies, la durée recommandée de conservation des cookies ou l’information des utilisateurs sur les cookies non soumis au consentement préalable.

    Pour résumé, le Conseil d’État a estimé que la CNIL ne pouvait légalement interdire dans ses lignes directrices les « cookie walls », pratique qui consiste à bloquer l’accès à un site internet en cas de refus des cookies. Le Conseil d’État a confirmé en revanche la légalité des autres points contestés, relatifs au recueil du consentement des internautes aux cookies et autres traceurs.

    Source : décision du Conseil d’État

    Et vous ?

    Que pensez-vous de cette décision ? Êtes-vous plutôt en accord avec la CNIL sur les « cookie walls » ou le Conseil d'État ?
    Que pensez-vous du recueil du consentement des internautes aux cookies et autres traceurs ? Cela devrait-il être systématique ? Dans quelle mesure ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre du Club
    Moi je demande que toute société qui détient ou a accès à vos informations personnelles vous le rappelle tous les ans.

  3. #3
    Membre éclairé
    Pour certaines, la liste sera aussi longue que les ToS d'un site, pas sur que les gens la lise donc

  4. #4
    Membre éprouvé
    ça reste floue car si je doit aller sur un site qui sert a régulariser une situation (une facture une amende...etc) et qu'on me dit d’accepter des cookies qui pourraient ne rien avoir a faire avec la dite régularisation tout en rappelant qu'un cookies n'est pas indispensable, je me retrouve dans l'incapacité a régulariser cette situation c'est forcer les gens a la faute.
    Plus vite encore plus vite toujours plus vite.

  5. #5
    Membre éclairé
    Les sites publics peuvent très bien être soumis à des contraintes supplémentaires que les sites privés qui permettent de garantir un accès élargie à plus de personnes.

    Trop contraindre les sites privés, c'est des coûts supplémentaire qui peuvent tuer un site encore jeune qui a besoin de grossir avant de pouvoir prendre plus de choses en charge.

    Imaginer un site fait par une PME de quelques personnes qui doit respecter tout ce qui est obligatoire et désirable aujourd'hui pour mettre en place leur site commercial. Entre le RGPD, les obligations liés à tout ce qu'elle peut facturer, mais aussi être plus limités en solution techniques, fait de la sécurité informatique, garder tout ce est développé à jour, le support client,... je doute qu'une petite PME puisse faire tout ça.

  6. #6
    Membre éprouvé
    le stockage et l'utilisation de donné ne sont pas une obligation, quand on vas dans un magasin physique on ne demande pas d'avoir la carte de fidélité pour pouvoir acheter pourquoi ça devrait être différent sur internet.

    si le site ne stocke pas ou n'utilise pas de donné le problème est réglé.
    Plus vite encore plus vite toujours plus vite.

###raw>template_hook.ano_emploi###