CNIL : cookies or not cookies ?

Informer les internautes de la présence de cookies sur un site n'est pas suffisant, ils doivent effectuer un "acte" pour montrer qu'ils acceptent la collecte de leurs données personnelles, selon une recommandation de la Commission nationale de l’informatique et des libertés (CNIL), publiée jeudi au Journal officiel. Les cookies qui nécessitent un recueil du consentement ne peuvent être utilisés "tant que l'utilisateur n'a pas manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair", écrit la CNIL dans une délibération présentant ses nouvelles directives. Continuer à naviguer sur un site, à utiliser une application ou faire défiler une page ne sont pas "des actions positives claires", estime-t-elle. De même, l'utilisation de cases pré-cochées, l'acceptation globale de conditions générales d'utilisation ne sont pas non plus valables. "Des systèmes adaptés doivent donc être mis en place", conclut-elle. Elle précise par ailleurs que le consentement n'est valable que si l'internaute "est en mesure d'exercer valablement son choix et ne subit pas d'inconvénients majeurs en cas d'absence ou de retrait du consentement".

Vers des recommandations sectorielles

Ces recommandations de la CNIL fixent une norme permettant à ceux qui l'appliquent d'être en conformité avec le règlement européen de protection des données personnelles (RGPD) et des dispositions françaises. Le règlement européen, en vigueur depuis mai 2018, a renforcé les droits des citoyens européens et établi une série d'obligations pour les entreprises, variables selon leur taille et l'usage qu'elles font des données. La CNIL précise que "ces lignes directrices seront complétées ultérieurement par des recommandations sectorielles ayant notamment vocation à préciser les modalités pratiques du recueil du consentement".