CNIL , RGPD et cookies/traceurs d’audience et traceurs

1) contexte de lecture :

Cet article que nous vous proposons, est le dernier d’une série de 5, où nous vous avons proposé de décrypter ensemble la finalité des nouvelles lignes directrices posées par la CNIL, dans sa délibération publiée le 04/07/19, sous le numéro 2019-093pour annuler sa recommandation de décembre 2013 sur les cookies et autres traceurs.

Vous trouverez en fin d’article, tous les liens vous permettant d’accéder aux lectures de nos commentaires sur chacun des articles en fonction de vos centres d’intérêt, sans oublier la lecture de notre article général de présentation qui explique notamment pourquoi la CNIL par 2 notifications en date des :

        28 juin 2019,

Et

        18 juillet 2019,

A décidé d’octroyer au responsable de traitement mettant en œuvre cookies et traceurs, un délai supplémentaire de 12 mois pour considérer comme encore valable l’expression du consentement au traitement par la continuation de la navigation sur le site et/ou l’application mobile.

Ici ce dernier commentaire vous propose une réflexion sur le contenu des articles 5 et 6 de la délibération du 04/07/2019 soit :

        Article 5 : Commentaire des nouvelles lignes directrices sur le cas spécifique des traceurs de mesure d’audience comme bénéficiant d’une exemption de recueil du consentement.

Tout autant le responsable de traitement doit délivrer à l’utilisateur du terminal une information lui permettant d’exprimer un consentement qui doit rester valide au sens des nouvelles dispositions du RGPD.

        Article 6 : Commentaire des nouvelles lignes directrices sur les opérations de lecture ou d’écriture dans le terminal non soumises au consentement préalable.

2)Commentaire :

Article 5 : Axe directeur de la CNIL sur le cas spécifique des traceurs de mesure d’audience.

La CNIL à raisonné ici, RGPD oblige, en mettant en balance :

  • L’intérêt légitime de l’éditeur de contenus et/ou de la plateforme, 

et 

  • Les droits de l’utilisateur du terminal,

 En considérant qu’un éditeur de contenus au sens très large peut avoir besoin de :

  • Mesurer l’audience de son site Web et/ou de son application
  • Ou de tester leurs performances respectives.

Donc bénéficie d’une exemption au recueil du consentement tel que fixé dans les nouvelles lignes directrices de l’article 2 de la délibération CNIL du 04/07/2019, les traitements Cookies et/ou traceurs spécifiques suivants : 

Ils doivent être mis en œuvre par l’éditeur du site ou bien par son sous-traitant, nous soulignons ici que tout éditeur de site devra donc vérifier, et ce dès maintenant avec son hébergeur comment adapter avec lui les conditions de fonctionnement des traceurs de mesures d’audience de son site ou application car :

Si la finalité du traceur ne fait que « Mesurer l’audience » de son site Web ou application et rien d’autre, en ce cas il n’a pas à recueillir « expressément » le consentement dans les conditions explicitées et proposées par l’article 2 des nouvelles lignes directrices.

Voir mon commentaire sur l’article 2 de la délibération CNIL (Voir lien interne à ce site)

Par contre attention, l’exemption au recueil du consentement ne veut pas dire que le traceur d’audience doive être imposé à l’utilisateur du terminal car même pour un traceur de mesure d’audience il y a un formalisme à visée informationnelle très stricte pour continuer à recueillir le consentement de l’utilisateur du terminal mais dans une forme allégée soit par « L’Opt-In »

  1. La personne (utilisateur du terminal) doit être informée préalablement à leur mise en œuvre,
  2. Elle doit disposer de la faculté de s’y opposer, par l’intermédiaire d’un mécanisme d’opposition facilement utilisable sur l’ensemble des terminaux, des systèmes d’exploitation, des applications et des navigateurs Web.
  3. Et aucune opération de lecture ou d’écriture ne doit avoir lieu sur le terminal depuis lequel la personne s’est opposée.

Donc le responsable de traitement doit penser et ce dès aujourd’hui à :

  • Modifier le contenu d’information de sa politique cookies,
  • Aménager tout le cheminement signalétique sur les applications et les pages Web d’une délivrance d’informations qui permettent un mécanisme d’opposition compatible avec la technique de l’opt ’In.

La « dérogation » au principe du recueil du consentement express fait reposer sur le responsable de traitement :

  • Le maintien d’une obligation d’information précise mentionnant :

 La finalité du dispositif précisant qu’il ne s’agit bien que d’un traçage de mesure d’audience,

 Et la « mesure d’audience » doit être limitée :

  1. A la mesure d’audience du contenu visualisé, afin de permettre l’évaluation des contenus publiés et/ou l’ergonomie du site de l’application,
  2. A la segmentation de l’audience du site Web « en cohortes» afin d’évaluer l’efficacité des choix éditoriaux, sans que cela ne conduise à cibler une personne unique,
  3. A la modification dynamique d’un site de façon globale,

Ces 3 points doivent figurer « dans les nouvelles mentions d’information ».

2)Les données à caractère personnel collectées à l’occasion de ce traçage spécifique ne doivent pas être recoupées avec d’autre traitements (fichier clients ou statistiques de fréquentation d’autres sites par exemple), ni transmises à des tiers.

Donc le traçage ayant pour finalité une mesure d’audience ne peut avoir une sous finalité qui lui soit contraire,

Et surtout,

 Les informations doivent rester la propriété de l’éditeur de contenus.

Si tel n’est pas le cas, alors ce traitement traceur n’est pas exempté du consentement et rentre dans les conditions classiques de l’article 82 de la loi informatique et liberté complétée par le RGPD (Voir nos commentaires des articles  2 et3 de la délibération CNIL du 04/07/2019)

3)L’utilisation des traceurs doit être strictement cantonnée à :

  • La production de statistiques anonymes,

 Et sa portée doit être limitée à un seul éditeur de sites d’applications mobiles, et ne doit pas permettre le suivi la navigation de la personne utilisant différentes applications naviguant sur différents sites Web dont l’éditeur pourrait être « Propriétaire et/ou détenteur »

L’utilisation de l’adresse IP pour géolocaliser l’internaute ne doit pas fournir une information plus précise que :

 La ville, 

Et par ailleurs l’adresse IP une fois la géolocalisation effectuée doit être supprimée ou anonymisées.

4) Durée de vie des traceurs et durée de conservation des informations collectées ne sont pas identiques :

Durée de vie des traceurs :

Elle ne peut être supérieure à 13 mois, sans prorogation automatique lors de nouvelles visites.

Durée de conservation des informations collectées :

Les informations collectées par l’intermédiaire des traceurs doivent être conservées pendant une durée de 25 mois maximum.

Donc le régime des traceurs d’audience reste complexe.

 Des adaptations doivent être faites dès maintenant, ce qui à évidemment une incidence sur la rédaction des politiques d’information cookies, dont on peut suggérer qu’elles soient rédigées en 2 parties distinctes :

  • Pour le régime particulier et spécifique des cookies « Traceurs d’audience» ;
  • Et les autres cookies et traceurs or analytique de l’audience du service,
  • Le tout (nous le suggérons), renvoyant par ailleurs à la police d’information générale sur tous les autres traitements.

Par contre nous en revenons aux suggestions dans notre commentaire de l’article 2 des nouvelles lignes directrices de la CNIL sur le consentement :

Nous suggérons au  responsable de traitement pour résoudre  cette véritable « quadrature du cercle » de la qualité d’une information compréhensible et complète qui doit faire évoluer la présentation des polices d’information vers les pratiques d’icônes « Design Thinking », ce qui nécessite une collaboration et une réflexion d’adaptation avec les « concepteurs-développeurs » des applications mobiles notamment.

Article 6 : les opérations de lecture ou d’écriture non soumise au consentement préalable :

Ce sont les traceurs destinés à :

  • Permettre de faciliter la communication par voie électronique,

ou

  • Être strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Mais cette « dispense du consentement préalable » reste là encore assortie de l’obligation d’assurer par une information spécifique une transparence pleine et entière sur ces opérations, c’est-à-dire que les utilisateurs doivent être informés :

 De l’existence de ces traceurs, et de leur finalité,

                En y intégrant recommande la CNIL une mention dans la politique de confidentialité des organisations y ayant recours.

Nous reviendrons vers vous dans le courant du dernier semestre 2019 puisque la CNIL reviendra sans doute à l’occasion de ses travaux et consultation sur un modèle de recueil des consentements, et par ailleurs nous vous tiendrons aussi informés de l’évolution des pratiques en « Design Thinking ».

Rédigé à Marseille le 09 aout 2019

Véronique Rondeau– Abouly

Avocat à Marseille : Déléguée à la protection des données (DPO externe)

La rédaction de cet article a été conçue et organisée pour vous soumettre des informations utiles, des axes de réflexion pour une utilisation personnelle ou à visée professionnelle.

Il est mis à jour régulièrement mais dans un contexte réglementaire et jurisprudentiel évoluant, nous soulignons que nous ne pouvons être responsable de toute péremption du contenu, ou de toute erreur juridique et/ou inexactitude qui pourrait se révéler en fonction de l’évolution,  le lecteur voudra bien considérer qu’en tout état de cause pour une application personnalisée chaque cas est unique et que bien sûr le cabinet reste à votre disposition si vous avez une question précise à poser en lien avec cet article, nous nous ferons un plaisir de collaborer avec vous, n’hésitez pas à prendre contact ou à nous téléphoner.    


Nous vous proposons en complément:

délibération CNIL du 04/07/19 : généralités

Cnil : définition du Terminal

Cnil recommandations pour le contenu du nouveau contrat cookies