Après la publication de ses très controversées lignes directrices relatives aux traceurs, la Cnil vient de lancer la consultation publique sur ses recommandations pratiques, mises en ligne dans la foulée. Celles-ci n’apportent rien de nouveau, mais éclaire certains points quant au recueil du consentement des internautes sur lequel le gendarme des données personnelles attend les éditeurs au tournant.

Le 19 juillet dernier, la Cnil publiait au Journal Officiel ses lignes directrices en matière de cookies, révisant sa dernière recommandation, en date de 2013, et l’adaptant au cadre réglementaire instauré par le RGPD. Ces nouvelles règles avaient suscité l’ire aussi bien des publicitaires et éditeurs que des associations, pour différentes raisons.

A l’issue d’une concertation avec les différents acteurs concernés, le gendarme des données personnelles vient de publier ses recommandations, qu’il soumet à consultation publique jusqu’au 25 février. Là où les lignes directrices venaient expliciter le droit applicable, ces recommandations n’ont quant à elles qu’un but pratique : « la recommandation n’a pas vocation à être prescriptive » écrit la Cnil. « Elle vise essentiellement à formuler des recommandations pratiques sur la manière de traduire opérationnellement les exigences des textes dans la présentation des interfaces utilisateurs ».

De facto, la lecture de ce projet de recommandation n’apporte rien de nouveau au cadre existant et ne revient qu’à expliciter certaines dispositions de l’article 82 de la loi « Informatique et Libertés », tout en livrant des exemples concrets de ce qui est attendu des éditeurs de sites et d’applications en termes de dépôt de cookies et de recueil du consentement de leurs visiteurs. On remarquera toutefois quelques points de définition et rappels utiles.

Un refus aussi facile qu’un consentement

Et en premier lieu sur les environnements concernés par le recueil du consentement préalablement au dépôt de cookies, puisque la Cnil précise que sont soumis à ces règles aussi bien les sites sur lesquels l’internaute est authentifié (réseaux sociaux par exemple) que les « univers « non logués » ». Ce qui implique que l’acceptation en bloc de conditions générales d’utilisation ne vaut pas dispense de recueillir le consentement de l’utilisateur aux termes de l’article 82. Soit, rappelons-le, un consentement éclairé, libre, spécifique et univoque. « La simple acceptation globale de conditions générales d’utilisation ou de vente ne permet pas d’obtenir un consentement spécifique » signale le régulateur.

Autre point d’importance, afin d’éviter ce phénomène de lassitude face aux bandeaux réapparaissant sans cesse en cas de refus, la Cnil recommande (fortement) que le refus soit enregistré pour la même durée que celle du consentement. Dans les deux cas, « la Commission estime qu’une durée de validité de six mois à partir de l’expression du choix de l’utilisateur est adaptée », mais il faut également que l’utilisateur soit en mesure de retirer (ou de donner) son consentement après coup, et ce « avec la même facilité qu’ils l’ont donné ».