Délibération n°2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n°2019-093 du 4 juillet 2019

Date de signature :17/09/2020 Statut du texte :En vigueur
Date de publication :02/10/2020 Emetteur :Commission nationale de l'informatique et des libertés
Consolidée le : Source :JO du 2 octobre 2020
Date d'entrée en vigueur :03/10/2020
Délibération n°2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux «cookies et autres traceurs») et abrogeant la délibération n°2019-093 du 4 juillet 2019

NOR : CNIL2026187X

La Commission nationale de l’informatique et des libertés,
Après avoir entendu M. François PELLEGRINI, commissaire, en son rapport, et M. Benjamin TOUZANNE, commissaire du Gouvernement, en ses observations,

Adopte les lignes directrices suivantes :

La Commission nationale de l’informatique et des libertés (ci-après «la Commission») est chargée de veiller au respect de l’article 82 de la loi du 6 janvier 1978 susvisée (ci-après la loi «Informatique et Libertés»).

Dans ce cadre, les présentes lignes directrices ont pour objet principal de rappeler et d’expliciter le droit applicable aux opérations de lecture et/ou d’écriture d’informations (ci-après «traceurs») dans l’équipement terminal de communications électroniques de l’abonné ou de l’utilisateur, et notamment à l’usage des témoins de connexion (ci-après «cookies»). Le cadre légal résulte en particulier des dispositions applicables de la directive du 12 juillet 2002 susvisée (ci-après directive «ePrivacy»), transposées en droit national à l’article 82 de la loi «Informatique et Libertés», et de la définition du consentement établie à l’article 4 du règlement (UE) du 27 avril 2016 susvisé (ci-après «RGPD»), que les lignes directrices susvisées du Comité européen de la protection des données (CEPD) ont pour objet d’éclairer.

L’article 82 de la loi «Informatique et Libertés» dispose :

«Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement;

2° Des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique;

2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.»


Ces dispositions imposent ainsi le recueil du consentement avant toute action visant à stocker des informations ou à accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, en dehors des exceptions applicables.

La Commission rappelle que le consentement prévu par ces dispositions, lues à la lumière de l’article 5 de la directive «ePrivacy» et de l’article 94 du RGPD, renvoie à la définition et aux conditions prévues aux articles 4 (11) et 7 du RGPD.

Le RGPD est venu apporter des clarifications sur les conditions d’obtention du consentement et sur la nécessité d’en démontrer le recueil.

L’entrée en application du RGPD a ainsi conduit la Commission à abroger, par sa délibération n°2019-093 du 4 juillet 2019, sa recommandation de 2013 relative aux cookies et aux autres traceurs, pour la remplacer par des lignes directrices. La présente délibération tire les conséquences de la décision susvisée du Conseil d’Etat du 19 juin 2020 et actualise ces lignes directrices.

Les présentes lignes directrices sont complétées par des recommandations, non prescriptives et non exhaustives, présentant notamment des exemples et bonnes pratiques de modalités concrètes du recueil du consentement et de mise en oeuvre des traceurs non soumis à ce dernier.

Art. 1er. – Sur le champ d’application des lignes directrices.

Les lignes directrices concernent toutes les opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans l’équipement terminal de l’abonné ou de l’utilisateur d’un service de communications électroniques ou à inscrire des informations dans celui-ci.

L’article 1er de la directive 2008/63/CE du 20 juin 2008 susvisée définit l’équipement terminal comme «tout équipement qui est connecté directement ou indirectement à l’interface d’un réseau public de télécommunications pour transmettre, traiter ou recevoir des informations; dans les deux cas, direct ou indirect, la connexion peut être établie par fil, fibre optique ou voie électromagnétique; une connexion est indirecte si un appareil est interposé entre l’équipement terminal et l’interface du réseau public».

Cette définition englobe de nombreux dispositifs couramment utilisés, tels qu’une tablette, un ordiphone («smartphone»), un ordinateur fixe ou mobile, une console de jeux vidéo, une télévision connectée, un véhicule connecté, un assistant vocal, ainsi que tout autre équipement terminal connecté à un réseau de télécommunication ouvert au public.

Les présentes lignes directrices concernent tous les équipements terminaux visés par cette définition, quels que soient les systèmes d’exploitation ou les logiciels applicatifs (tels que les navigateurs web) utilisés.

Elles portent, en particulier, sur l’utilisation des cookies HTTP, par lesquels ces actions de lecture ou écriture sont le plus souvent réalisées, mais également d’autres technologies telles que les «local shared objects» appelés parfois les «cookies Flash», le «local storage» mis en oeuvre au sein du standard HTML 5, les identifications par calcul d’empreinte du terminal ou «fingerprinting», les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non: IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d’un appareil), etc. Pour l’application des présentes lignes directrices, le mot «traceur» désigne l’ensemble des dispositifs susceptibles d’être visés par l’article 82 de la loi.

Les présentes lignes directrices concernent enfin les opérations précitées de lecture et écriture de toute information stockée ou consultée dans un équipement terminal au sens prédéfini, qu’il s’agisse ou non de données à caractère personnel au sens du RGPD. Les dispositions du paragraphe 3 de l’article 5 de la directive «ePrivacy» et, par conséquent, de l’article 82 de la loi «Informatique et Libertés», sont en effet applicables à de telles opérations indépendamment du fait que les données concernées soient à caractère personnel ou non.

La Commission rappelle que tout traitement portant sur les données produites ou collectées via un traceur, dès lors que celles-ci relèvent de la catégorie des données à caractère personnel – parfois directement identifiantes (par exemple, une adresse électronique) et souvent indirectement identifiantes (par exemple, l’identifiant unique associé à un cookie, une adresse IP, un identifiant du terminal ou d’un composant du terminal de l’utilisateur, le résultat du calcul d’empreinte dans le cas d’une technique de «fingerprinting», ou encore un identifiant généré par un logiciel ou un système d’exploitation) – doit respecter les dispositions du RGPD et les dispositions pertinentes de la loi «Informatique et Libertés». Ces traitements ne sont pas concernés par les présentes lignes directrices.

Art. 2. Sur les modalités de recueil du consentement.

En application des dispositions combinées des articles 82 de la loi «Informatique et Libertés» et 4 du RGPD, les traceurs nécessitant un recueil du consentement ne peuvent, sous réserve des exceptions prévues par ces dispositions, être utilisés en écriture ou en lecture qu’à condition que l’utilisateur ait manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque, par une déclaration ou par un acte positif clair.

S’agissant du caractère libre du consentement

Afin de déterminer si le consentement est donné librement, le RGPD impose de «tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat». Aux termes du considérant 42 du RGPD, qui éclaire l’exigence de liberté du consentement posée par son article 4, «le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice». Dans ces conditions, la Commission estime que le fait de subordonner la fourniture d’un service ou l’accès à un site web à l’acceptation d’opérations d’écriture ou de lecture sur le terminal de l’utilisateur (pratique dite de «cookie wall») est susceptible de porter atteinte, dans certains cas, à la liberté du consentement.

En cas de mise en place de «cookie wall», et sous réserve de la licéité de cette pratique qui doit être appréciée au cas par cas, l’information fournie à l’utilisateur devrait clairement indiquer les conséquences de ses choix et notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement. Enfin aux termes du considérant 43 du RGPD, «le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce». A cet égard, la Commission estime que le fait de recueillir de manière simultanée un consentement unique pour plusieurs opérations de traitement répondant à des finalités distinctes (le couplage de finalités), sans possibilité d’accepter ou de refuser finalité par finalité, est également susceptible d’affecter, dans certains cas, la liberté de choix de l’utilisateur et donc la validité de son consentement.

S’agissant du caractère spécifique du consentement

La Commission rappelle que le consentement aux opérations de lecture et écriture doit être spécifique. A ce titre, le consentement à ces opérations ne peut être valablement recueilli via une acceptation globale de conditions générales d’utilisation. S’agissant du caractère éclairé du consentement La Commission rappelle que le consentement des personnes doit être éclairé conformément, d’une part, aux dispositions des articles 4(11), 7, 13 du RGPD et, d’autre part, aux dispositions de l’article 82 de la loi «Informatique et Libertés».

La Commission rappelle que l’information doit être rédigée en des termes simples et compréhensibles par tous et qu’elle doit permettre aux utilisateurs d’être dûment informés des différentes finalités des traceurs utilisés. Elle considère que l’utilisation d’une terminologie juridique ou technique trop complexe est susceptible de rendre incompréhensible cette information par les utilisateurs.

La Commission rappelle que l’information doit être complète, visible et mise en évidence. Un simple renvoi vers les conditions générales d’utilisation ne saurait suffire. A minima, la fourniture des informations suivantes aux utilisateurs, préalablement au recueil de leur consentement, est nécessaire pour assurer le caractère éclairé de ce dernier : La Commission rappelle qu’afin que le consentement soit éclairé, l’utilisateur doit pouvoir identifier le ou les responsables ainsi que l’ensemble des responsables conjoints des traitements, avant d’être mis en mesure d’exprimer son choix. Ainsi, la liste exhaustive et à jour de ces entités doit être rendue accessible de façon simple aux utilisateurs.

S’agissant du caractère univoque du consentement

La Commission souligne que, conformément à l’article 4(11) du RGPD, le consentement doit se manifester par le biais d’une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exprimer.

Elle considère donc que continuer à naviguer sur un site web, à utiliser une application mobile ou bien faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable. La Commission rappelle que la Cour de justice de l’Union européenne (CJUE) a jugé dans sa décision Planet 49 du 1er octobre 2019 (CJUE, 1er oct. 2019, C-673/17) que l’utilisation de cases pré-cochées ne peut être considérée comme un acte positif clair visant à donner son consentement. En l’absence de consentement exprimé par un acte positif clair, l’utilisateur doit être considéré comme ayant refusé l’accès à son terminal ou l’inscription d’informations dans ce dernier.

Des systèmes adaptés devraient être mis en place pour recueillir le consentement selon des modalités pratiques permettant aux utilisateurs de bénéficier de solutions simples d’usage. La Commission renvoie sur ce point à sa recommandation n°2020-092 du 17 septembre 2020. Sur la preuve du consentement L’article 7.1 du RGPD impose que les organismes exploitant des traceurs, responsables du ou des traitements, soient en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

Sur le refus et le retrait du consentement

La Commission observe que si le consentement doit se traduire par une action positive de l’utilisateur, le refus de ce dernier peut se déduire de son silence. L’expression du refus de l’utilisateur ne doit donc nécessiter aucune démarche de sa part ou doit pouvoir se traduire par une action présentant le même degré de simplicité que celle permettant d’exprimer son consentement.

De plus, la Commission rappelle que, conformément à l’article 7.3 du RGPD, il doit être aussi simple de retirer son consentement que de le donner. Les utilisateurs ayant donné leur consentement à l’utilisation de traceurs doivent être mis en mesure de le retirer simplement et à tout moment.

Art. 3. – Sur la qualification des acteurs.

Les traceurs concernés par l’obligation de recueil du consentement n’impliquent pas systématiquement de traitement de données à caractère personnel. Toutefois, dans un grand nombre de cas, les opérations de lecture ou écriture concerneront des données à caractère personnel dont le traitement sera soumis aux autres dispositions de la loi «Informatique et Libertés» et du RGPD.

Si, dans certains cas, l’utilisation de traceurs fait intervenir une seule entité qui est donc pleinement responsable de l’obligation de recueillir le consentement (par exemple, un éditeur de site web qui a recours à des traceurs pour personnaliser le contenu éditorial proposé à l’internaute), dans d’autres cas, plusieurs acteurs contribuent à la réalisation des opérations de lecture ou écriture visées par les présentes lignes directrices (par exemple, un éditeur de site web et une régie publicitaire déposant des traceurs lors de la consultation du site web). Dans ces derniers cas, ces entités doivent déterminer leur statut au regard du traitement réalisé.

3.1. Responsabilité conjointe et obligations des responsables du ou des traitements

La Commission rappelle que l’éditeur d’un site qui dépose des traceurs doit être considéré comme un responsable de traitement, y compris lorsqu’il sous-traite à des tiers la gestion de ces traceurs mis en place pour son propre compte.

Doivent également être considérés comme responsables de traitement les tiers qui utilisent des traceurs sur un service édité par un autre organisme, par exemple en déposant des traceurs à l’occasion de la visite du site d’un éditeur, dès lors qu’ils agissent pour leur propre compte. Dans ce cas de figure, le Conseil d’Etat a jugé, dans sa décision du 6 juin 2018, qu’au titre des obligations qui pèsent sur l’éditeur de site, figurent celle de s’assurer auprès de ses partenaires, d’une part, qu’ils n’émettent pas, par l’intermédiaire du site de l’éditeur, des traceurs qui ne respectent pas la règlementation applicable en France et, d’autre part, celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements.

Dès lors, l’organisme qui autorise l’utilisation de traceurs, y compris par des tiers, depuis son site ou application mobile, doit s’assurer de la présence effective d’un mécanisme permettant de recueillir le consentement des utilisateurs.

De manière générale, la Commission observe que les éditeurs de sites ou d’applications mobiles, du fait du contact direct qu’ils ont avec l’utilisateur, sont souvent les plus à même de porter à la connaissance de ces derniers l’information sur les traceurs déposés et de collecter leur consentement.

Pour les opérations visées par l’article 82, comme la CJUE l’a également jugé dans un cas similaire (CJUE, 29 juill. 2019, aff. C-40/17, Fashion ID GmbH & Co. KG c. / Verbraucherzentrale NRW eV), l’éditeur du site ou de l’application mobile et le tiers déposant des traceurs sont réputés être responsables conjoints du traitement dans la mesure où ils déterminent conjointement les finalités et les moyens des opérations de lecture et écriture sur l’équipement terminal des utilisateurs.

Dans le cas d’une responsabilité conjointe, dans le cadre de laquelle les responsables déterminent ensemble les finalités et les moyens du traitement, la Commission rappelle que, conformément aux dispositions de l’article 26 du RGPD, ils doivent définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du RGPD, en particulier en ce qui concerne le recueil et la démonstration, le cas échéant, d’un consentement valable.

3.2. Sous-traitance

La Commission rappelle qu’un acteur qui stocke et/ou accède à des informations stockées dans l’équipement terminal d’un utilisateur exclusivement pour le compte d’un tiers doit être considéré comme sous-traitant. Elle rappelle, à cet égard, que si une relation de sous-traitance est établie, le responsable de traitement et le sous-traitant doivent établir un contrat ou un autre acte juridique précisant les obligations de chaque partie, dans le respect des dispositions de l’article 28 du RGPD.

La Commission rappelle également que, conformément à l’article 28.3 du RGPD, le sous-traitant doit aider le responsable du traitement à respecter certaines de ses obligations et notamment celles relatives aux demandes d’exercice des droits des personnes. Enfin, le sous-traitant doit notamment informer ce dernier si l’une de ses instructions constitue une violation des textes applicables en matière de protection des données à caractère personnel.

Art. 4. – Sur les paramètres du terminal.

L’article 82 de la loi précise que le consentement peut résulter de paramètres appropriés du dispositif de connexion de la personne ou de tout autre dispositif placé sous son contrôle.

Néanmoins, à la date d’adoption des présentes lignes directrices, la Commission estime, en l’état des connaissances dont elle dispose et sans préjudice d’une possible évolution de la technique, que les possibilités de paramétrage des navigateurs et des systèmes d’exploitation ne peuvent, à eux seuls, permettre à l’utilisateur d’exprimer un consentement valide. En effet, si les navigateurs web proposent de nombreux réglages permettant aux utilisateurs d’exprimer des choix en matière de gestion des cookies et autres traceurs, ceux-ci sont généralement exprimés aujourd’hui dans des conditions ne permettant pas d’assurer un niveau suffisant d’information préalable des personnes, de nature à respecter les principes rappelés dans les présentes lignes directrices.

En outre, les navigateurs ne permettent pas, à ce jour, de distinguer les traceurs en fonction de leurs finalités, alors même que cette distinction peut s’avérer nécessaire pour garantir la liberté du consentement.

Art. 5. – Sur les traceurs exemptés de consentement.

Pour rappel, l’exigence de consentement ne s’applique pas aux opérations qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse des utilisateurs.

Les traceurs ne sortent du champ d’application de l’exigence de consentement que s’ils sont utilisés exclusivement pour une ou plusieurs finalités qui peuvent se rattacher aux exceptions prévues par l’article 82 de la loi «Informatique et Libertés».

La Commission précise, à cet égard, que l’utilisation d’un même traceur pour plusieurs finalités, dont certaines n’entrent pas dans le cadre de ces exemptions, nécessite de recueillir préalablement le consentement des personnes concernées, dans les conditions rappelées par les présentes lignes directrices. A titre d’exemple, dans le cas d’un service offert via une plate-forme nécessitant l’authentification des usagers («univers logué»), l’éditeur du service pourra utiliser un cookie pour authentifier les utilisateurs sans demander leur consentement (car ce cookie est strictement nécessaire à la fourniture du service de communication en ligne). En revanche, il ne pourra utiliser ce même cookie pour des finalités publicitaires que si ces derniers ont effectivement consenti préalablement à cette finalité spécifique.

Traceurs exemptés du recueil du consentement

En l’état des pratiques portées à sa connaissance, la Commission estime que les traceurs suivants peuvent, notamment, être regardés comme exemptés : Cas spécifique des traceurs de mesure d’audience

La gestion d’un site web ou d’une application requiert presque systématiquement l’utilisation de statistiques de fréquentation et/ou de performance. Ces mesures sont dans de nombreux cas indispensables au bon fonctionnement du site ou de l’application et donc à la fourniture du service. En conséquence, la Commission considère que les traceurs dont la finalité se limite à la mesure de l’audience du site ou de l’application, pour répondre à différents besoins (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de l’ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consultés, etc.) sont strictement nécessaires au fonctionnement et aux opérations d’administration courante d’un site web ou d’une application et ne sont donc pas soumis, en application de l’article 82 de la loi «Informatique et Libertés», à l’obligation légale de recueil préalable du consentement de l’internaute.

Afin de se limiter à ce qui est strictement nécessaire à la fourniture du service, la Commission souligne que ces traceurs doivent avoir une finalité strictement limitée à la seule mesure de l’audience sur le site ou l’application pour le compte exclusif de l’éditeur. Ces traceurs ne doivent notamment pas permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web. De même, ces traceurs doivent uniquement servir à produire des données statistiques anonymes, et les données à caractère personnel collectées ne peuvent être recoupées avec d’autres traitements ni transmises à des tiers, ces différentes opérations n’étant pas non plus nécessaires au fonctionnement du service.

Plus généralement, la Commission rappelle que les traitements de mesure d’audience sont des traitements de données à caractère personnel qui sont soumis à l’ensemble des dispositions pertinentes du RGPD.

Art. 6. Abrogation de la délibération n°2019-093 du 4 juillet 2019.

La présente délibération abroge la délibération n°2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur.

La présente délibération sera publiée au Journal officiel de la République française.

La présidente,
M.-L. DENIS


Source Légifrance