Editeurs de sites internet :attention à vos cookies !
Onze mois après la publication de sa recommandation relative aux cookies et autres traceurs en décembre 2013, la Commission Nationale de l’Informatique et des Libertés (CNIL) a débuté les contrôles de conformité des acteurs en octobre 2014. Il est donc opportun de (re)faire un point sur les recommandations de la CNIL vis-à-vis des cookies et sur les contrôles qu’elle effectue.
Détail de la réglementation et des recommandations relatives aux cookies
Ø Les différents types de cookies
Les Cookies nécessitant une information et un consentement préalables de l’internaute sont notamment :
- les Cookies liés aux opérations relatives à la publicité ciblée ;
- les Cookies de mesure d’audience (sauf exceptions très précises) ;
- les Cookies traceurs de réseaux sociaux générés par les « boutons de partage de réseaux sociaux ».
A l’inverse, certains Cookies peuvent être déposés ou lus sans recueillir le consentement des personnes. Ce sont :
- les Cookies ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
- les Cookies strictement nécessaires à la fourniture d'un service expressément demandé par l'utilisateur ;
- les Cookies de mesure d’audience définis par la CNIL comme étant exemptés du consentement.
Ø L’information préalable des internautes :
La CNIL recommande que les personnes doivent disposer de solutions simples leur permettant de refuser l'insertion des cookies. Le choix d'accepter ou de refuser doit être possible pour l'ensemble des technologies de traçage utilisées par l'éditeur et il doit permettre à l'usager d'accepter ou de refuser les cookies par finalités (tel que la publicité, les réseaux sociaux, la mesure d'audience).
Ø L’obligation de recueillir le consentement de l’internaute avant l’inscription des cookies :
Le recueil d’un consentement préalable et éclairé est réalisé à travers le bandeau d’information préalable qui apparaît sur le site.
Tant que la personne n'a pas donné son consentement (notamment en poursuivant sa navigation, autrement qu’en allant consulter la page d’information relative aux cookies), les cookies ne peuvent être déposés ou lus sur son terminal et ce bandeau ne doit pas disparaître.
De plus, le consentement doit être requis à chaque fois qu'une nouvelle finalité vient s'ajouter aux finalités initialement prévues.
La durée de validité de ce consentement est de 13 mois maximum selon les recommandations de la CNIL.
Ø Les contrôles de la CNIL
La CNIL dispose du pouvoir d’effectuer des contrôles auprès de l’ensemble des éditeurs.
A l’issue du contrôle, si les manquements relevés sont sérieux et que l’éditeur n’a pas déféré aux injonctions de la CNIL, le dossier est transmis à une formation contentieuse de la CNIL, qui peut prononcer les sanctions prévues par la loi, voire au Procureur de la République.
La CNIL peut prononcer à l’égard des responsables fautifs différents types de sanctions :
- Un avertissement, qui peut être rendu public
Dans l’hypothèse où le Président de la CNIL a, au préalable, prononcé une mise en demeure, et que le responsable de traitement ne s’y est pas conformé, la formation restreinte peut prononcer, à l’issue d’une procédure contradictoire :
- Une injonction de cesser le traitement
- Une sanction pécuniaire d’un montant maximal de 150 000 euros, et de 300 000 euros en cas de récidive.
Cependant, la CNIL a conscience que la mise en conformité de certains sites nécessite plus de délai que d’autres. En cas de plainte ou de contrôle, la Commission appréciera les efforts mis en œuvre par le responsable du traitement pour se mettre en conformité.
Ø A retenir :
- Vérifier la finalité des cookies et le respect, si nécessaire, des conditions posées par la CNIL
- Si ce n’est pas le cas, se mettre rapidement en conformité.