Cnil , Le consentement aux cookies et traceurs l’article 2 de la délibération

  • Propos introductifs :

Dans cet article, nous continuons de vous proposer les commentaires de tous les articles de la délibération CNIL numéro 2019-0 93 du 04/07/2019, portant les nouvelles lignes directrices relatives à l’application de l’article 82 de la loi du 06/01/78 modifiée, aux opérations de lecture ou écriture dans le terminal d’un utilisateur.

Vous pouvez lire ce document de manière indépendante mais il fait partie d’une présentation plus globale d’un article intitulé : « CNIL-cookies et traceur, consentement, délibération du 04/07/2019, comment appliquer correctement les nouvelles lignes directrices et s’en sortir. » ou se trouve commenté l’ensemble des articles.

Ici nous vous proposons un second commentaire sur l’article 2 , mais  vous pouvez retourner sur l’article général, en cliquant sur le lien ci-dessus :

A la fin de l’article vous trouverez aussi les liens pour vous rendre sur le commentaire de tous les autres articles de la délibération du 4/7/2019.(articles1,3,4,5et6)

2)Commentaires de l’article 2(Délibération du 04/07/2019) : Sur les nouvelles modalités de recueil du consentement.

Comprendre le contexte de la rédaction de cette nouvelle ligne directrice

Les considérants 32,33, 42 et 43 du RGPD peuvent constituer une base de réflexion non négligeable, en cas de doute pour le responsable du traitement pour appréhender la notion du consentement pour tout type de traitement d’ailleurs.

On retrouve dans le « considérant 32 » les bases de rédaction de l’article 4 § 11, et du RGPD, et les considérants 42 et 43 concernent plus spécifiquement les caractéristiques de l’information qui doit être délivrée laquelle conditionne ensuite un consentement valablement donné.

L’article 4 § 2 du RGPD définit le « traitement » dont il résulte qu’il concerne toutes les opérations telles que :

        L’enregistrement,

        L’extraction,

        La consultation, 

        L’utilisation, (on peut donc ici pour ce qui nous intéresse y inclure l’écriture dans le terminal)

        La communication par transmission,

        La diffusion ou toute autre forme de mise à disposition,

        Le rapprochement ou l’interconnexion,

Si L’article 82 de la loi informatique et libertés ne vise pas précisément le terme de traitement, il renvoie bien à cette notion en visant :

        « Toute action tendant à accéder par voie de transmission électronique, à des informations déjà stockées dans un équipement terminal de communication électronique, ou à inscrire des informations dans l’équipement. »

Donc « l’action » ou « Traitement » visé par le § 1 de l’article 82 induit et oblige à un consentement « informé » donc « subordonné » à la délivrance préalable d’une information claire et complète : Article 82 alinéa 1.

Donc la lecture stricte de l’article 82 repose sur la chaîne de légalité suivante :

Information claire et complète + information sur la finalité de l’action dans le terminal + moyens pour s’y opposer + consentement= Utilisation des informations du terminal licite

LE RGPD complète les éléments constitutifs de cette chaîne de légalité interne du traitement Cookies/traceur

Ainsi, avant la mise en œuvre du RGPD, le dépôt du « cookie et/ou du traceur » reposait sur un consentement valable si la chaîne de légalité cumulative ci-dessus était respectée (directive 2002 codification article 32-II) ;

Autrement dit pour le cookie et le traceur avant le Rgpd on pouvait raisonner par la formule « connue » suivante que nous « customisons »:

« Au commencement du cookie et du traceur était l’information loyale sur la finalitéet venait dès lors le consentement « valide », et le « Régulateur » pouvait voir que c’était bien ! »

Par ailleurs jusqu’au RGPD la formalité du recueil du consentement aux cookies et/ou autre traceur « restait assez souple » puisque notamment après lecture du bandeau cookies, la continuation de la consultation des pages web ou de l’application caractérisait un consentement valable.

Mais au regard de l’évolution de la technologie, le « cookie classique » a fait place à des procédés techniques de traçage beaucoup plus intrusifs et le plus souvent indétectables associés à des mentions d’information pas toujours transparentes ne permettant pas vraiment à l’utilisateur du terminal justement de donner un consentement « en tout état de cause ».

D’autant plus que l’utilisateur du terminal doit donner son consentement « pendant l’utilisation du service », page Web et/ou une application mobile avec dans le second cas une interface de visualisation réduite (tablette, Smartphone), donc tout ceci n’avait plus vraiment les faveurs de la commission européenne !

Enfin, lorsqu’il est nécessaire à un « traitement » de données personnelles, « quel qu’il soit » le RGPD a redéfini la notion de consentement.

C’est cela qui change désormais puisque l’utilisation du terminal d’un utilisateur s’analyse bien comme un traitement soumis au consentement.

Ce consentement au cookie et au traceur était jusqu’alors soumis à un texte spécial c’est à dire l’article 82 de la loi informatique et libertés. (Avant 32-II), et reposait sur la chaîne de « légalité interne » décrite ci-dessus.

Désormais, un consentement valable repose au visa du RGPD et de son interprétation donnée par les lignes directrices du CEPD (comité Européen de protection des données, anciennement G29), sur d’autres conditions :

  • Il doit être donné dans les formes et conditions posées par l’article 4 § 11 et l’article 7 du RGPD, 

Et la CNIL peut en contrôler l’application, et elle pose la règle du Jeu par les lignes directrices de  sa délibération du 04/07/2019.

Donc la chaîne de la légalité antérieure pour la validité des opérations de lecture et d’écriture dans le terminal est modifiée en ce sens que désormais :

        C’est le consentement qui prend la première place, mais sa validité s’apprécie par la délivrance d’une information qui doit présenter certaines caractéristiques :

  1. Libre,
  2. Spécifique,
  3. Éclairé,

 Autrement dit dans l’environnement du RGPD, l’utilisateur du terminal donne un consentement valable au regard de ces 4 critères cumulatifs ci-dessus (article 4 § 11) :

Soit une nouvelle chaine de légalité interne de démarches cumulatives à respecter dans l’information préalable :

Pas de contrainte au consentement (Liberté)+Une finalité précisément énoncée(spécificité)+Une terminologie compréhensible (lecture éclairée) +Une action positive(univoque)= consentement valable

Ou désormais pour le Responsable du traitement depuis le 04/07/2019 :

Au commencement du consentement sera une information documentée et prouvable : « Libre+ spécifique+éclairée+univoque, » + « une interaction spécifique pour refuser le traitement et retirer aussi facilement qu’il a été donné le consentement » = le « Régulateur » pourra voir que c’était bon et juste !!! 

Illustration pratique :

1er critère de validité du nouveau consentement : la preuve du caractère libre du consentement (article 4§11 du RGPD)

Le caractère libre du consentement était un objectif important pour les rédacteurs du règlement européen au regard du Considérant 32 c’est-à-dire que le responsable de traitement doit justifier que l’acceptation au « cookies/traceur » n’a pas été biaisé par une contrainte quelconque la CNIL précisant que notamment :

        Est un biais pour un consentement valable le fait de subir un inconvénient majeur en cas d’absence ou de retrait du consentement, et elle énumère un certain nombre de pratiques qui ne permettent pas de considérer que le consentement est licite :

        Notamment bloquer l’accès à un site Web, ou à une application mobile pour qui ne consent pas à être suivi (cookie Walls), car s’il est obligé d’enlever son « cookie wall » pour consentir l’utilisateur du terminal subit une conséquence négative, son consentement n’est pas libre !

2ème critère de validité du nouveau consentement : S’agissant du caractère spécifique du consentement (article 4§11 du RGPD)

Le caractère spécifique du consentement est identique au visa de l’article 4 § 11 et/ou article 82 § 1 de la loi informatique et libertés :

 Un consentement valable est donné au regard d’une information précise sur la finalité de toute action tendant à accéder au terminal.

        Donc si le traitement comporte plusieurs finalités, le consentement doit être donné de manière indépendante et spécifique pour chaque finalité distincte, un consentement de manière globale est acceptable s’il s’ajoute et sans la remplacer, à la possibilité de consentir spécifiquement à chaque finalité.

        La CNIL souligne qu’il ne faut pas confondre à cet égard acceptation globale de conditions générales d’utilisation qui en aucune manière ne peut être assimilée à une modalité valable de recueil du consentement si celui-ci ne peut être donné de manière distincte pour chaque finalité figurant dans les conditions générales d’utilisation.

Ce qui induit bien à destination des responsables de traitement qu’ils ont tout intérêt à différencier :

Leurs conditions générales d’utilisation du service,

ET

L’information politique « cookies/traceurs », qui d’ailleurs devra faire le lien ensuite avec la politique de traitement personnel des données si ensuite, les informations lues dans le terminal font l’objet d’un traitement spécifique qui peut d’ailleurs avoir une base juridique et des finalités différentes ! (Attention donc notamment pour les responsables de traitement des « objets connectés »Iot !)

Et cette démarche est bien à entreprendre dès maintenant, car ce sont les éléments qualitatifs de cette nouvelle information qui vont caractériser un consentement valable, mais nous l’avons « ô combien souligné » dans notre article général sur la délibération et son plan d’actions en 2 temps (Voir lien cliquable) :

 Attention évitons les malentendus, ce qui est suspendu pendant 12 mois par le plan d’action de la CNIL exposé dans ses 2 notes des 28/06 et 18/07/2019, c’est l’obligation pour les responsables de traitements de recueillir le consentement par d’autre formes que le principe de la navigation, 

Par contre « le nouveau cadre du consentement au cookie néanmoins, » même encore acceptable dans son expression, par la continuation de la navigation est, lui d’application immédiate et pour être valable le consentement doit être dans un contexte ainsi organisé en étant :

  • Consubstantiel à la délivrance d’une « information améliorée » en tout cas prenant en compte les 4 nouveaux critères qui garantissent et protègent les droits de celui qui consent à l’utilisation de son terminal.

3ème critère de validité du nouveau consentementS’agissant du caractère éclairé du consentement (article 4§11 du RGPD)

Un consentement éclairé est un consentement ou l’utilisateur du terminal comprend parfaitement ce à quoi il s’engage, donc l’information doit être rédigée en des termes simples et compréhensibles pour tous en permettant d’être parfaitement informé des différentes finalités des traceurs utilisés.

L’utilisation d’une terminologie juridique ou technique trop complexe ne répond pas à l’information préalable, laquelle doit par ailleurs être complète visible et mise en évidenceau moment du recueil du consentement.

 Un simple renvoi vers les conditions générales d’utilisation ne saurait suffire.

Ce point est très important et va certainement être un axe focal des contrôles à venir de la CNIL, ce qu’elle a d’ailleurs annoncé, et ce quel que soit le traitement d’ailleurs indépendamment de celui en lien avec l’utilisation des informations du terminal.

Donc il est urgent, pour les responsables de traitement, spécifiquement pour les cookies, et/ou traceurs notamment ceux résultant de l’utilisation de services d’applications mobiles de penser pour améliorer le contexte d’une compréhension de loyale « de ce à quoi consent » exactement l’utilisateur de recourir pour les mentions d’information au « légal design » ou « Design Thinking ».

 La CNIL sera très attentive à cet aspect des choses, et nous reviendrons sur ce point par d’autres articles à destination notamment des développeurs d’applications mobiles, en lien avec les efforts très importants que fait la CNIL pour voir se développer ce nouveau mode de communication adapté aux technologies innovantes.

Se surajoute aux informations qui devront caractériser un consentement éclairé pour les opérations de lecture ou écriture dans le terminal d’un utilisateur le respect de mentions informatives spécifiques et supplémentaires prévues par   l’article 82 de la loi informatique et libertés c’est-à-dire 🙁Revoir notre petit schéma de légalité interne « ci-dessus » du consentement au cookie et traceur depuis le 04/07/2019) les mentions supplémentaires suivantes :

  • L’identité du ou des responsables de traitement ;
  • La finalité des opérations de lecture ou écriture des données,
  • La possibilité du droit de refuser,
  • Une proposition facile pour retirer son consentement,

ATTENTION :

        Lorsqu’un traitement de données à caractère personnel suit l’opération de lecture ou écriture, l’information préalable donnée aux utilisateurs doit alors être complétée par les dispositions des articles 13 et 14 du RGPD sur les modalités d’une information transparente en fonction des situations.

Ainsi on retrouve un « parallélisme de forme avec » les nouvelles règles d’information sur la prospection commerciale qui s’appliquent désormais que celle-ci soit à destination du BtoC ou B2B sur :

 L’information obligatoire documentée et à jour sur les « tiers/partenaires » destinataires des informations du terminal.

        En effet participe d’un consentement éclairé que l’utilisateur du terminal puisse identifier l’ensemble des entités qui auront aussi le bénéfice de l’utilisation des informations récoltées par les traceurs avant de pouvoir y consentir :

Cette liste exhaustive des entités régulièrement mise à jour est mise à disposition auprès de l’utilisateur directement lors du recueil de son consentement. 

Ou l’on voit que le nouveau « Mantra » du « responsable de traitement » pour mesurer la légalité des « futurs consentements » des utilisateurs de terminaux qui sécuriseront la valeur économique de ses bases de « Data analytics » devrait être :

« Au nom de Quoi « l’utilisateur du terminal » va t’il donner son consentement ? »

Et donc pour le responsable de traitement « Au nom de quoi en miroir » il rédige le contenu de sa police d’information « cookies/traceur » !

        Un « responsable de traitement » qui recueille des informations issues du terminal d’un utilisateur pour faire notamment de la prospection sera considéré comme faisant une collecte indirecte (au sens du RGPD), et devra « réinformer » la personne lors de la première prise de contact avec elle dans les conditions de l’article 14 du RGPD.

 Ici le traitement reposant sur le consentement, « l’entité » qui aura récupéré les informations collectées devra respecter les dispositions de l’article 14 § 2 (d) et rappeler à la personne concernée qu’elle bénéficie du droit de retirer son consentement à tout moment, précision faite que pour le traitement reposant sur le consentement, son retrait ne porte ses effets que pour l’avenir, le « passé » reste dans le « Graphe » du responsable de traitement !!!!

Ou l’on voit que « garder valide pour l’avenir le consentement de l’utilisateur du terminal » sans retrait du consentement de ses informations ; est aussi une des conditions pour garder la confiance et la collaboration interne du « Directeur administratif et financier », le mauvais compagnon par excellence du « Directeur du Marketing » qui ne cesse de lui donner mauvaise conscience pour un « Retour sur Investissement » qui se fait « selon lui » toujours un peu attendre !!!

La valorisation de la base de « Data analytics », ainsi sécurisée par le maintien du consentement des utilisateurs de terminaux ouvrira sans doute plus surement la porte à de futures autorisations de R&D en IT dont sont si friands les départements internes « de Data Analytics » et/ ou « d’Achat programmatique » !!!

Donc entre Analytics et/ou Programmatique, le cœur du responsable de traitement ne doit pas balancer, cela vaut bien quelques efforts de rédaction d’une belle « Police d’information » rédigée avec le tour de main juridique qu’il convient (Vite Allo mon DPO externe préféré !!!)

4ème critère de validité du nouveau consentementS’agissant du caractère univoque du consentement (article 4§11 du RGPD)

La CNIL souligne que le consentement doit se manifester par une action positive d’une personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer dans les conditions qui lui auront été soumises ci-dessus, donc :

        Le caractère univoque du consentement n’est plus compatible avec un consentement tacite qui pouvait s’engendrer de la continuation à naviguer sur un site Web, ou d’utiliser une application mobile, ou de faire défiler la page d’un site Web ou d’une application mobile.

Ces actes ne constituent plus des actions positives claires assimilables à un consentement valable.

ATTENTION A NOUVEAU

On le souligne encore c’est à titre exceptionnel, et transitoire pour accompagner les conséquences d’un changement de législation (RGPD+Lignes directrices d’application CNIL) et s’y adapter comme le souligne la CNIL dans son communiqué du 18/07/2019 que :

 Pendant encore 12 mois se trouve accepté le maintien de la navigation sur le service comme mode d’expression valable du consentement, mais le formalisme des conditions de validité interne du consentement par une nouvelle information intégrant le respect des 4 caractéristiques du consentement valable, lui est d’application immédiate et sera très sévèrement contrôlé par la CNIL.

Donc Exit également :

 L’utilisation des casses pré cochées, et l’acceptation globale de conditions générales d’utilisation.

Donc le contenu actuel des polices actuelles d’information « Cookies et Traceurs » doit bien être vérifié pour si nécessaire et sans doute s’adapter, puisque les responsables de traitement déjà appliquaient le principe de l’information sur la finalité du traitement.

 Ce qui change par les nouvelles lignes directrices du 04/07/2019 c’est d’adapter la « granularité » ou « finesse de l’information » pour répondre aux nouveaux critères protégeant les droits de l’utilisateur (Consentement libre+spécifique+Eclairé+Univoque).

Sur la nouvelle preuve du consentement : (article 7 du RGPD)

Cette disposition impose que le consentement soit démontrable, ce qui signifie que :

 Les organismes exploitant des traceurs doivent mettre en œuvre des mécanismes leur permettant de démontrer, à tout moment, qu’ils ont valablement recueilli le consentement des utilisateurs.

2 conséquences très importantes :

1)Tout responsable de traitement d’information issue de cookies et/ou traceurs doit désormais établir un système de traçage du consentement des utilisateurs du terminal, et le conserver.

Si des entités ou tiers n’ont pas recueilli eux-mêmes le consentement des personnes, la CNIL souligne que :

 Tout organisme qui recueille les informations du traceur ne peut considérer qu’il est garanti par la présence d’une clause contractuelle lui garantissant que le recueil du consentement a été valablement fait pour son compte.

Donc l’ingénierie contractuelle ici est très importante pour la rédaction des clauses ou l’on ne peut que recommander au « responsable de traitement » de s’adjoindre des conseils spécialisés et notamment un « Délégué à la protection des données » ( DPO), quitte à surajouter si nécessaire au « DPO interne » pour ces problématiques très particulières de rédaction contractuelle une mission ponctuelle d’assistance d’un « DPO externe » qui pourra aussi l’assister et contrôler les nouvelles polices d’information cookies/traceurs.

Nous le répétons à nouveau, à cette nouvelle modalité de recueil du consentement tracé et explicite peut encore être préférée pendant 12 mois, au maximum, étant bien compris que :

Après le mois de Décembre 2019, normalement les consultations de la CNIL étant terminées, les 6 mois de délais supplémentaires (Janvier/Juillet 2020) ne devront pas être « Passifs » :

 Les responsables de traitement seront supposés justement pouvoir commencer à mettre en œuvre ce recueil du consentement en collaboration avec l’internaute « au plus tôt » et « au fur et à mesure » ou les nouvelles recommandations du début de l’année sortiront soit donc dès le début de l’année donc un conseil :

 « Hâtons-nous lentement !!!! » ; à réfléchir à l’implémentation du recueil du consentement dans les pratiques et technologies.

Enfin outre que le texte spécial de l’article 82 imposait un formalisme de retrait du consentement,

Cette obligation est « renforcée » d’autant plus qu’un consentement donné au titre du RGPD doit pouvoir être retiré à tout moment, et ce droit doit être facilité au titre du respect et garanties des droits des personnes concernées par un traitement.

En conclusion provisoire :

Comme la CNIL l’annonçait dans ses 2 informations en date des 28 juin 2019 18 juillet 2019, dès septembre elle va commencer à collaborer avec toutes les professions concernées (éditeurs de contenus Web, annonceurs, prestataires et intermédiaire de l’écosystème du marketing, sans oublier les représentants de la société civile) par l’intermédiaire de leurs organisations professionnelles pour organiser :

  • Les modalités pratiques de recueil du consentement.

A priori la CNIL devrait tenir compte des suggestions et contingences propres à chaque métier et tenter dans la mesure du possible de recommander par métier au sens largedes référentiels de bonne pratique.

Les représentants professionnels comme l’IAB (L’Interactive Adversing Bureau), organisation regroupant les acteurs de la publicité sur Internet et dont le but est de développer des normes, ou le Geste (Association regroupant des éditeurs de services en ligne) ; seront consultés,

Ainsi évidemment que tout autre groupement intéressé ; et ils communiqueront sur l’avancement de leurs travaux ainsi que la CNIL évidemment.

 Nous vous tiendrons régulièrement informés, n’hésitez pas à revenir régulièrement sur notre site, ou nous tiendrons des :

 Rubriques d’actualité et d’information pendant toute cette période très importante d’élaboration par la CNILdes référentiels déclinant les modalités pratiques de recueil du consentement.

Conseils ultimes : « Dès à présent, auditez le contenu de vos polices d’informations cookies ».

Bonne lecture et réflexions et n’hésitez pas à cliquer sur le lien de notre article de présentation générale proposé en introduction qui contient les liens cliquables pour le commentaire de tous les autres articles de cette délibération du 04/07/2019.

Nous vous remettons également les liens de lecture ci-dessous.

Rédigé à Marseille le 09 Aout 2019

 Véronique Rondeau– Abouly

Avocat à Marseille : Déléguée à la protection des données (DPO externe)

La rédaction de cet article a été conçue et organisée pour vous soumettre des informations utiles, des axes de réflexion pour une utilisation personnelle ou à visée professionnelle.

Il est mis à jour régulièrement mais dans un contexte réglementaire et jurisprudentiel évoluant, nous soulignons que nous ne pouvons être responsable de toute péremption du contenu, ou de toute erreur juridique et/ou inexactitude qui pourrait se révéler en fonction de l’évolution,  le lecteur voudra bien considérer qu’en tout état de cause pour une application personnalisée chaque cas est unique et que bien sûr le cabinet reste à votre disposition si vous avez une question précise à poser en lien avec cet article, nous nous ferons un plaisir de collaborer avec vous, n’hésitez pas à prendre contact ou à nous téléphoner.    

Photo d’illustration de l’article : Banque d’image et photos gratuites libre de droits « Fotomelia »

 Nous vous proposons:

https://www.cabinetrondeauabouly.fr/details-cnil+lignes+directrices+du+04+07+2019+la+notion+de+terminal+dans+l+article+1+de+la+deliberation+et+l+article+82+de+la+loi+informatique+et+liberte+completee+par+le+rgpd-129.html

https://www.cabinetrondeauabouly.fr/details-cnil+rgpd+et+responabilite+des+acteurs+du+traitement+que+doivent+contenir+les+nouveaux+contrats+des+responsables+de+traitement+des+sous-traitants+et+des+responsables+conjoints+de+traitements+en+matiere+de+cookies+et+traceurs+-131.html

https://www.cabinetrondeauabouly.fr/details-cnil+rgpd+et+parametres+du+terminal+pour+la+gestion+des+cookies+et+autres+traceurs+dans+ses+recommandations+de+la+deliberation+du+04+07+2019+la+cnil+rappelle+en+article+4+le+contexte+legal-132.html

https://www.cabinetrondeauabouly.fr/details-cnil+rgpd+et+cookies+traceurs+d+audience+et+traceurs+necessaires+a+la+communication+ou+au+service+nouvelles+lignes+directrices+depuis+le+04+07+2019-133.html