La CNIL a adopté une nouvelle délibération afin de préciser les règles d’utilisation des cookies
Cette délibération a pour objet de rappeler les dispositions de l’article 82 de la loi Informatique et libertés issues de la directive dite “vie privée et communications électroniques” ou encore “directive e-privacy”. Cette directive de 2005 prévoit en effet en son article 5.3 que l’utilisateur doit donner son consentement AVANT toute action visant à stocker des informations ou à accéder à des informations stockées dans l’équipement terminal d’un utilisateur.
Concrètement, les règles applicables sont les suivantes :
Les cookies (en général tous traceurs) ne peuvent être utilisés tant que l’utilisateur n’a pas manifesté à cette fin sa volonté, de manière libre, spécifique et univoque par une déclaration ou un acte positif clair. Cela signifie qu’en pratique, que l’utilisateur doit donner son consentement par le biais d’une action positive de sa part (opt’in). Il convient donc de prévoir une information à travers un bandeau cookies sur lequel l’internaute doit cliquer pour accepter les cookies. Il doit pouvoir les refuser et continuer sa navigation sur le site sans être bloqué. Ainsi, le simple fait de continuer la navigation ne suffit pas à considérer que l’internaute a donné son consentement aux dépôt de cookies sur son terminal. Le bandeau d’information doit donc comporter un bouton “ACCEPTER” et un bouton “REFUSER”. Chaque type de cookies utilisés doit être précisé et l’internaute doit pouvoir accepter ou refuser chacun des cookies déposés. Une acceptation globale est valable si l’internaute a bien été informe des finalités de chacun des cookies utilisés et pu accepter ou refuser chacun des cookies. Le bandeau doit envoyer vers un lien ou chaque finalité de cookies est détaillé avec possibilité pour l’internaute d’accepter ou de refuser chacun des cookies. De même qu’il doit être informé sur les entités qui déposent les cookies sur son terminal.
Dans le cas de responsables conjoints du traitement, c’est-à-dire par exemple lorsqu’une entité tiers dépose des cookies sur le terminal de l’utilisateur, c’est le cas des plug-ins de réseaux sociaux. Lorsque l’utilisateur clique sur le bouton du réseau social, ce dernier dépose des cookies et récupère les données? Dans ce cas, l’éditeur du site et l’éditeur du réseau social sont coresponsables de traitement des données personnelles collectées à travers les cookies et devront démontrer qu’ils auront reçu le consentement de l’utilisateur.
Il existe des exceptions au recueil exprès et préalable du consentement pour les cookies suivants :
- les cookies ayant pour finalité exclusive de permettre ou de faciliter la communication par voie électronique, tels que mémorisation des identifiants, enregistrement du panier d’achat
- cookies strictement nécessaires à la fourniture d’un service demander par l’utilisateur : cookies flash permettant la lecture d’une vidéo.
Une proposition de règlement européen concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques est en cours de discussion au sein des institutions européennes et remplacera la directive e-privacy.
En espérant que cet article a pu vous éclairer sur la bonne utilisation des cookies, nous restons à votre disposition pour rédiger votre politique de vie privée et de gestion des cookies : https://dspinetti-avocat.com/proximite/ ou directement par mail à l’adresse suivante : mail@dspinetti-avocat.com