La Cnil, qui a récemment reçu les professionnels et les éditeurs de services en ligne sur le bon usage des cookies, a prévenu qu’elle allait redoubler de vigilance ces prochaines semaines pour s’assurer du bon respect de ses recommandations et de l’accord préalable de chaque internaute.

Par Etienne Drouard, avocat associé, cabinet K&L Gates LLP

La Cnil (1) a publié en décembre 2013 une série de recommandations assorties d’observations et de fiches pratiques sur la régulation française des fichiers cookies et autres traceurs. Ces fichiers, enregistrés dans le terminal d’un utilisateur lors de
la visite d’une page les contenant, sont au cœur de la mesure d’audience, de la publicité interactive et comportementale ainsi que du commerce électronique.

De la concertation à la réglementation précise
Ces cookies permettent de mesurer l’audience des services, d’identifier un terminal
lors de diverses connexions successives, de constituer un panier de commande, etc.
Ils fondent de nombreux modèles économiques et contribuent à la performance économique et éditoriale des services en ligne.
La publication par la Cnil de ces divers documents d’interprétation est intervenue près de deux ans et demi après la modification par voie d’ordonnance (2) de l’article 32.II
de la loi Informatique & Libertés de 1978, lui-même issu de l’article 5§3 de la directive européenne Vie privée et communications électroniques de 2002 modifiée en 2009 (7).

Les acteurs français de la publicité sur Internet s’étaient très tôt dotés de lignes directrices sur l’application de la réglementation européenne, tout d’abord par l’élaboration d’une charte « Publicité ciblée et protection des utilisateurs » signée le
30 septembre 2010 sous l’égide de l’Union française du marketing direct & digital (UFMD) (8). Ensuite, par l’adoption sous l’égide de l’UFMD en avril 2012, d’un « Guide de bonnes pratiques sur l’utilisation des cookies publicitaires », fournissant des recommandations pratiques sur les modalités d’application de l’article 32.II. La Cnil avait, en mai 2012, invité l’UFMD à participer à des travaux d’échanges et de concertation destiné à réduire les écarts d’interprétation qui s’étaient creusés entre l’analyse des associations professionnelles et la doctrine stricte exprimée par la Cnil
et ses homologues depuis 2010, exigeant un consentement explicite, préalable et discrétionnaire des internautes à l’utilisation des cookies à des fins publicitaire et d’analyse comportementale (9). Cette concertation s’est déroulée entre les mois de
juin 2012 et novembre 2013. Elle a conduit la Cnil à adopter des recommandations concrètes synthétisant les points essentiels de consensus dégagés avec les associations professionnelles concernées. L’article 32.II prévoit que le dépôt de cookies et l’accès à des informations stockées dans le terminal, ne peuvent avoir lieu « qu’à condition que l’abonné ou la personne utilisatrice ait exprimé son accord », après avoir reçu des informations prévues par la loi (10). Cet article ne détermine pas de manière précise les modalités d’accord. Le législateur a donc ouvert à toutes les solutions et évolutions technologiques les modalités d’expression des choix des utilisateurs, à condition que ces derniers en conservent la maîtrise.

Poursuivre sa navigation vaut accord
• Etape 1 : un bandeau d’information immédiatement visible lors d’une première visite.
La CNIL requiert l’affichage d’un bandeau informant l’internaute : des finalités des cookies présents sur le service visité, du fait que la poursuite de la navigation vaudra accord à l’enregistrement de cookies, qu’il dispose de moyens lui permettant de refuser les cookies. La notion de « service visité » correspond à une même URL principale. La formule préconisée par la Cnil et qui peut être adaptée selon l’ergonomie des écrans des terminaux et les finalités d’utilisation des cookies, est la suivante : « En poursuivant votre navigation, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts et mesurer la fréquentation de nos services. Pour en savoir plus et paramétrer les cookies… (11) ». Le bandeau peut n’apparaître que lors de la première visite du service, mais il doit être distinct du contenu du service visité et être visible immédiatement, sans action de l’utilisateur, c’est-àdire sans avoir à « scroller » une page ni à effectuer aucune action lors de la première visite.
• Etape 2 : un lien cliquable depuis le bandeau d’information. Le bandeau d’information doit comporter un lien cliquable permettant à l’internaute d’exprimer ses choix à travers les paramètres de son navigateur ou d’un mécanisme de choix sur les finalités de cookies acceptés ou refusés par l’internaute (12). Le lien figurant au sein du bandeau d’information doit permettre à l’internaute, avant de poursuivre sa navigation, de consulter une seconde étape d’information décrivant : les finalités détaillées d’utilisation des cookies, les cookies utilisés pour des opérations de publicité ciblée, les cookies permettant d’identifier un utilisateur de réseaux sociaux avec un bouton de « partage », les cookies de mesure individualisée de l’audience mais pas tous (voir plus loin).

Tous les cookies ne sont pas concernés
Qui doit informer l’internaute ? Chaque émetteur de cookie : il s’agit, au premier chef,
de l’éditeur du service visité, qui doit informer les personnes des finalités des cookies présents sur le service visité, émis par ledit éditeur ou par des tiers, ainsi que des
moyens d’opposition pour les cookies « non nécessaires » au service. Il s’agit également des acteurs suivants (13) : la régie publicitaire, les adservers et membres de réseaux d’adexchange, les agences media, les annonceurs, les éditeurs de réseaux sociaux, les fournisseurs de solutions de mesure d’audience, etc.
Quant au « timing » de dépose des cookies, il est soumis à « l’accord » de l’internaute.
S’il poursuit sa navigation, l’internaute est réputé accepter les cookies et le bandeau d’information peut alors disparaître. A contrario, la dépose/lecture des cookies soumis
à l’accord de l’internaute est subordonnée à la poursuite de sa navigation, laquelle consiste en une action positive de navigation : clic, accès à une page secondaire, scroll, etc. En conséquence, l’inaction totale de l’internaute n’est pas un élément de poursuite de sa navigation (14). Cependant, certains cookies ne sont pas soumis à l’accord ou à la navigation active de l’internaute. Selon les recommandations de la Cnil, les cookies
qui n’ont pas à être acceptés, refusés ou retardés jusqu’à un acte de navigation de l’internaute, sont les suivants :
• Les cookies nécessaires au fonctionnement du service souhaité. Il s’agit des cookies de gestion d’un panier d’achat et d’authentification mémorisant les droits d’accès d’un utilisateur. Il s’agit également des cookies persistants d’adaptation d’un service aux spécificités d’un terminal (langue, système d’exploitation).
• Les cookies de mesure d’audience en vue d’établir des statistiques et dont la durée de validité est limitée dans le temps.
• Les cookies « de session », qui peuvent inclure ceux créés par un lecteur multimédia ou pour l’équilibrage de charge du service visité.
• Les cookies persistants, limités à quelques heures. Ces divers types de cookies peuvent donc être déposés lors du chargement de la page visitée, sans attendre la poursuite de la navigation et sans besoin du bandeau d’information. Mais des difficultés d’application et des questions ont été laissées en suspens par la Cnil.

Les éditeurs, dont les services en ligne contiennent des cookies qu’ils émettent eux-mêmes ou que des tiers ont émis, doivent interroger ces tiers sur les finalités des cookies déposés par ces derniers, afin de pouvoir en informer les internautes. Pour ce faire, les éditeurs doivent donc identifier, analyser et décrire les cookies présents sur leurs propres pages, afin de déterminer s’ils sont ou ne sont pas soumis à l’exigence
de l’accord de l’internaute. De cette analyse dépend la faculté pour l’éditeur de gérer
le moment de dépose de chaque cookie et, le cas échéant, de retarder la dépose
des cookies soumis à l’accord de l’internaute à un acte de navigation de ce dernier.
Or les éditeurs de services ne sont pas toujours en mesure de paramétrer le moment de dépose des cookies émis par des tiers sur les pages de leurs services, ne serait-ce que pour les cookies rattachés à l’utilisation des réseaux sociaux. De surcroît, les éditeurs peuvent ne pas être en mesure de retarder le dépôt des cookies qu’ils émettent et qui sont soumis à l’accord de l’internaute ou à sa navigation active au sein de leurs services.
Sur ce point, les éditeurs de services et les acteurs de l’écosystème de la mesure d’audience et de la publicité doivent évaluer non seulement leur capacité à se conformer aux recommandations de la Cnil sur le « timing » de dépose des cookies, mais surtout le risque résiduel (perte de chiffre d’affaires notamment) résultant de leur incapacité à s’y conformer parfaitement (ou de leur décision de ne pas s’y conformer). La Cnil sera, à n’en pas douter, vigilante dans les semaines qui viennent et ne manquera pas de rappeler des acteurs au meilleur respect de ses recommandations, lesquelles, certes, n’ont pas de portée juridique obligatoire.

Les sanctions possibles de la Cnil
Néanmoins, ces recommandations synthétisent la doctrine de la Cnil et aucun acteur économique ne saurait prendre sereinement le risque médiatique de faire les frais d’une critique publique de cette autorité administrative indépendante – voire d’une amende pour une contravention de la 5e classe (15). L’esprit de concertation dans lequel la Cnil s’était engagée a conduit à des aménagements qui fonctionnent et permettent une bien meilleure information des personnes, à charge pour elles de faire leurs choix. Espérons que cet esprit de concertation perdurera. @

Etienne Drouard a coordonné pour l’UFMD les concertations avec la Cnil. Il est, par ailleurs, président de la commission « Enjeux réglementaires » du Geste (Groupement des éditeurs de services en ligne), lequel publiera le 30 avril 2014 son « livre blanc » de recommandations sur les cookies.