« Très peu d'internautes se rendent compte qu’ils ne sont pas en contact avec une seule entreprise, mais avec un grand nombre d'entreprises qui collectent et utiliseront leurs données » soulignent les experts de la CNIL dans le cadre du projet du laboratoire d'innovation (Cookieviz -1-, en janvier 2020.

Une enquête de l’IFOP-2- réalisée par la CNIL, en janvier 2020 révèle également que 70% des personnes interrogées jugent indispensable un encadrement législatif sur les modalités de collecte des cookies. Même si cela reste chronophage pour la navigation,77% souhaiterait recevoir une nouvelle demande de consentement à l'utilisation des traceurs au moins tous les 3 mois.

Une autre étude de Cornell university réalisé en janvier 2020 révèle que malgré les règles imposées par le RGPD :
• 99 % de cookies sont utilisés pour tracker les visiteurs de sites web ou pour fournir des annonces ciblées ;
• 72 % de cookies sont mis en place par des « quatrièmes parties » qui sont chargés par des tiers, agissent comme des chevaux de Troie ;
• 50 % de cookies supplémentaires changent d’une visite à l’autre.
1. Tout d’abord qu’est-ce qu’un cookie ?

Un cookie est un petit fichier enregistré sur un ordinateur ou un téléphone mobile lors de la navigation. Il possède un identifiant unique attribué à l’appareil et permettant à l’outil de se souvenir des actions et des préférences de l’utilisateur pendant une période donnée. Cela évite à l’utilisateur de fournir les mêmes informations à chaque fois qu’il souhaite accéder au site internet voire dans certains des cas, l’aider à personnaliser son expérience de navigation.

Toutefois, tous les cookies n’ont pas le même rôle et ne sont pas tous nécessaires au bon fonctionnement de la navigation.


La réglementation en matière de cookies est en cours de construction avec le projet de règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE « vie privée et communications électroniques ». En attendant l’adoption du dudit règlement, c’est la directive du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques qui constitue la référence en matière de cookies.

La directive 2002/58/CE prévoit en substance que les visiteurs d’un site Web soient informés de l’utilisation de cookies grâce à une indication compréhensible, et qu’ils doivent donner leur consentement.
Il s’agit d’une part des cookies publicitaires qui sont utilisés dans le cadre du ciblage mais également pour les analyses marketing et réseaux sociaux. D’autre part il est possible que les cookies soient appliqués sans autorisation des utilisateurs si ceux-ci sont jugés techniquement nécessaires pour la délivrance d’un service fourni par le site Internet, et expressément demandé par l’abonné ou l’utilisateur. Parmi ces données on peut compter les configurations de langues, les identifiants, les paniers d’achat voire les cookies flash pour la lecture de contenu multimédia.


1.1. Typologie des cookies.
• Les Cookies nécessaires : les cookies techniques
Ce sont des cookies qui permettent au propriétaire du site internet d’être en mesure de proposer un outil adapté au besoin de l’utilisateur facilitant ainsi l’usage des services fournis. Le blocage des cookies nécessaires empêche le bon fonctionnement du site lors de la navigation.
• Les Cookies non nécessaires : cookies statistiques
Il s’agit de l’analyse performance, mesure d’audience. Ces cookies aident le propriétaire du site à mesurer les modèles de trafic pour déterminer les zones les plus visitées de son outil afin de mesurer les tendances. Cela lui permet également de comprendre les habitudes des visiteurs afin d’améliorer les services et produits en ligne.
Ce sont notamment :
• Les cookies de suivi
• Les cookies de ciblage (targeting)
• Les cookies d'analyse
• Les cookies de réseaux sociaux
Cependant ceux-ci ne sont ni essentiels encore moins nécessaires au bon fonctionnement de la navigation, ils sont alors soumis au régime du consentement explicite prévu par l’art.82 de loi informatique et libertés du 6 janvier 1978. Ce recueil de consentement est matérialisé par une bannière en bas de page facilitant le paramétrage des traceurs. Toutefois, ce consentement peut à tout moment faire l’objet d’une révocation de la part de l’utilisateur (art. 21 al. 2 RGPD).

• Les autres Cookies non nécessaires : cookies tiers
Ce sont des cookies placés dans le terminal de l’internaute par un tiers ou en son compte. Ces derniers peuvent être des partenaires commerciaux, des annonceurs, des régis publicitaires etc. Ces cookies permettent aux partenaires de générer des publicités personnalisées, basées sur des informations concernant l’utilisateurs telles que les pages les consultées sur le site.
Ainsi, la directive de l’UE de 2002 /58/CE sur les cookies exige généralement une solution opt-in pour les cookies non nécessaires.

1.2. Qu’en est-il de la différence entre l’opt-out et l’opt-in :

• Opt-out : les cookies sont mis en place dès le début et les utilisateurs ne peuvent s’opposer à l’enregistrement des données que plus tard.
• Opt-in : les cookies ne sont pas mis en place tout de suite, mais seulement lorsque l’utilisateur accepte l’enregistrement des données.

Toutefois, la directive ne précise pas comment ces exigences doivent être mises en œuvre exactement. L’incertitude reste donc de mise surtout en ce qui concerne la déclaration de consentement des visiteurs du site Web.

S’agissant de la durée de vie des cookies, la CNIL estime nécessaire qu’elle soit limitée dans le temps compte tenue de la portée de ces derniers. Un délai de validité du consentement au dépôt des Cookies de 13 mois au maximum est recommandé. À l'expiration de ce délai, le consentement devra être à nouveau recueilli.
Attention : Passé ce délai, leur durée de vie ne doit pas être prolongée lors de nouvelles visites sur le site.
2. Chronologie de l’évolution de l’encadrement des cookies

2.1. L’encadrement des cookies à l’échelle de l’union européenne et nationale
Les législateurs européens ont d’abord consacré la directive 2002/58/CE aux questions liées cookies. Dix-huit ans après un bilan mitigé est né un projet de règlement 2002/58/CE (e-privacy). Ce texte prévoyait déjà que l’utilisateur ait la possibilité de donner son consentement.

La directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) n°2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs.
L’adoption de cette directive a permis au législateur européen de poser le principe d'un consentement préalable de l'utilisateur avant le stockage d'informations sur l'équipement d'un utilisateur ou l'accès à des informations déjà stockées. Sauf si ces actions sont strictement nécessaires pour la délivrance d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur. L'article 32-II de la loi Informatique et Libertés du 6 janvier 1978, modifié par l'ordonnance n°2011-1012 du 24 août 2011 qui a transposé la directive 2009/136/CE reprend ce principe en ces termes : « En application de la loi informatique et libertés, les traceurs (cookies ou autres) nécessitant un recueil du consentement ne peuvent donc être déposés ou lus sur son terminal, tant que la personne n’a pas donné son consentement ».
2.2. Le récent projet de recommandation de la CNIL

La CNIL a décidé dès 2019, de faire du ciblage publicitaire un sujet prioritaire. Après avoir concerté les différents acteurs concernés en automne 2019, elle soumet à consultation publique son projet de recommandation jusqu’à 25 février 2020.

Il s’agit d’une part de sonner l’alarme quant aux mauvaises pratiques dans le recueil de consentement prévu à l’article 82 de la loi informatique et libertés du 6 janvier 1978. D’autre part, d’accompagner les mauvais élèves dans leur mise en conformité en guidant « les professionnels concernés dans leur démarche de mise en conformité.

Le projet concerne aussi bien les organismes privés que publics dès lors qu’ils sont soumis aux obligations de la loi informatique et libertés et qu’ils procèdent à des opérations de lecture et/ou d’écriture visées par l’article 82 de la loi Informatique et Libertés. Ainsi, elle décrit des modalités pratiques possibles de recueil d’un consentement conforme aux règles applicables, propose des exemples concrets d’interface utilisateur, et présente des bonnes pratiques permettant d’aller au-delà des exigences légales ». Elle introduit ainsi :
-. Des Exemples pratiques de recueil de consentement ainsi que du refus de l’internaute permettant de garantir la liberté du choix exprimé ;
- Des Exemples pratiques de modalités de preuve dont peuvent se prévaloir des responsables de traitements auxquels la personne donne son consentement ;
- Des Précisions sur les modalités par lesquelles les responsables de traitements qui déposent des traceurs peuvent apporter une preuve.

Néanmoins la recommandation tout comme les précédents dispositifs de la CNIL (lignes directives sur les cookies du 4juillet 2019) n’ont pas valeur contraignante mais peuvent faire l’objet de sanctions administratives.


2.3. La position du conseil d’État
Le 4 juillet 2019, dans le cadre de son plan d’action sur le ciblage publicitaire et à l’issue d’une concertation avec les professionnels et la société civile, la CNIL a adopté des lignes directrices sur les cookies et autres traceurs afin de préciser les règles applicables et les bonnes pratiques en la matière depuis l’entrée en vigueur du règlement général sur la protection des données (RGPD).

Ces lignes directrices ont pour objet de préciser les conditions dans lesquelles le RGPD renforce les droits des internautes, afin de leur permettre de garder la maîtrise de leurs données personnelles à l’encontre des cookies et traceurs fréquemment utilisés, en particulier, lors de la navigation sur les sites internet.

Diverses associations professionnelles ont saisi le Conseil d’État d’une requête tendant à l’annulation de ces lignes directrices. Les requérants contestaient en particulier l’interdiction, par les lignes directrices attaquées, de la pratique des « cookie walls » par laquelle les éditeurs de sites internet bloquent l’accès à leurs sites lorsque l’internaute ne consent pas au suivi de sa navigation au moyen du dépôt de cookies et des traceurs de connexion.

Par la décision du 19 juin 2020, le Conseil d’État juge qu’en déduisant une telle interdiction de la seule exigence d’un consentement libre de l’utilisateur au dépôt de traceurs, posée par le règlement général sur la protection des données (RGPD), la CNIL a excédé ce qu’elle pouvait légalement faire dans le cadre d’un acte dit « de droit souple ». Les actes de droit souple désignent les instruments, telles que les lignes directrices des autorités de régulation, qui ne créent pas de droit ou d’obligation juridique pour quiconque mais influencent fortement, dans les faits, les pratiques des opérateurs économiques. Sans se prononcer sur le fond de la question, le Conseil d’État considère que la CNIL ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue.



Sources :

www.cnil.fr/sites/default/files/atoms/files/les_francais_et_la_reglementation_en_matiere_de_cookies_-_sondage_ifop_pour_la_cnil_-_decembre_2019_.pdf
https://www.cnil.fr/sites/default/files/atoms/files/les_francais_et_la_reglementation_en_matiere_de_cookies_-_sondage_ifop_pour_la_cnil_-_decembre_2019_.pdf
https://linc.cnil.fr/fr/cookieviz-une-dataviz-en-temps-reel-du-tracking-de-votre-navigation
https://cdn2.nextinpact.com/medias/lqdn_et_caliopen-vs-cnil.pdf
https://www.cnil.fr/fr/la-cnil-lance-une-consultation-publique-sur-son-projet-de-recommandation-cookies-et-autres-traceurs
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A52017PC0010
https://www.conseil-etat.fr/actualites/actualites/le-conseil-d-etat-annule-partiellement-les-lignes-directrices-de-la-cnil-relatives-aux-cookies-et-autres-traceurs-de-connexion