La CNIL intensifie les contrôles et met en demeure de nombreux sites pour non-conformité.
Après avoir reçu de nombreuses plaintes d’internautes, la CNIL (Commission Nationale de l’Informatique et des Libertés) a intensifié ses contrôles sur les bandeaux cookies des sites internet. En décembre, plusieurs responsables de sites ont été mis en demeure de respecter les règles prévues par l’article 82 de la loi Informatique et Libertés. Ces contrôles s’appuient également sur les recommandations publiées en 2020 pour garantir une gestion conforme des traceurs (délibération n° 2020-092 du 17 septembre 2020).
Rappel de la réglementation applicable : l’obligation de consentement des utilisateurs
L’article 82 de la loi n° 78-17 du 6 janvier 1978, dite loi Informatique et Libertés, transposant la directive e-Privacy (directive 2002/58/CE modifiée), dispose concernant le consentement des utilisateurs que :
- Le consentement doit être donné par un acte positif clair (exemple : cliquer sur « J’accepte » dans une bannière cookie). En l’absence de consentement explicite, aucun traceur non essentiel au fonctionnement du service ne peut être déposé sur l’appareil de l’utilisateur.
- Les utilisateurs doivent pouvoir retirer leur consentement facilement et à tout moment.
- Refuser les traceurs doit être aussi simple qu’accepter leur utilisation.
Concernant l’information des utilisateurs :
- Ils doivent être informés de manière claire des finalités des traceurs avant de donner leur consentement, ainsi que des conséquences associées à leur acceptation ou leur refus.
- Ils doivent également connaître l’identité de tous les acteurs utilisant des traceurs soumis à consentement.
- Les organismes exploitant des traceurs doivent être capables de fournir à tout moment la preuve d’un consentement valide, c’est-à-dire libre, éclairé, spécifique et univoque.
Les pratiques jugés non conformes par la CNIL
À l’issue de l’examen des plaintes, la CNIL a mis en demeure de nombreux éditeurs de sites web de modifier leurs bandeaux cookies pour les raisons suivantes :
- La possibilité de refuser le dépôt de cookies n’était pas aussi facile que celle de les accepter.
- Une présentation ambiguë ou trompeuse des informations incitait les internautes à consentir au dépôt de cookies.
Concrètement, la CNIL a relevé que les pratiques suivantes étaient non conformes :
- Option de refus prenant la forme d’un lien cliquable dont les choix de couleur, de taille de caractère et de police mettent disproportionnellement en valeur l’option d’acceptation.
- Option de refus difficilement discernable, car intégrée dans les mentions d’information ou placée à un emplacement peu visible.
- Option de refus accolée à d’autres paragraphes, sans espacement suffisant pour la distinguer visuellement des autres informations.
- Option d’acceptation répétée plusieurs fois dans la bannière, alors que l’option de refus n’est mentionnée qu’une seule fois, et dans des termes non explicites (exemple : « Je décline les finalités non essentielles »).
Conclusion : La CNIL a exigé des éditeurs concernés qu’ils modifient leurs bandeaux cookies dans un délai d’un mois. En cas de non-conformité, ces éditeurs s’exposent à une astreinte financière, pouvant atteindre 100 000 euros par jour de retard ainsi qu’une amende administrative pouvant s’élever à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’entreprise concernée.
Cette campagne de vérification de la CNIL souligne l’importance de se conformer à la réglementation en matière de bandeaux cookies. Aussi, Pour garantir la conformité et éviter des sanctions, il est fortement recommandé de
- Réaliser un audit de vos bandeaux cookies par des professionnels du droit
- Veiller à ce que les informations et options de refus soient présentées de manière claire, accessible et équivalente à celles d’acceptation.
Conserver les preuves d’acceptation ou de refus des cookies. Avoir une procédure conforme est essentiel, mais encore faut-il être en capacité de le démontrer !