En application de la directive européenne dite " paquet télécom ", les internautes doivent être informés et donner leur consentement préalablement à l'insertion de traceurs. Ils doivent disposer d'une possibilité de choisir de ne pas être tracés lorsqu'ils visitent un site ou utilisent une application. Les éditeurs ont donc l'obligation de solliciter au préalable le consentement des utilisateurs. Ce consentement est valable 13 mois maximum. Certains traceurs sont cependant dispensés du recueil de ce consentement.
En modifiant l'article 5(3) de la directive 2002/58/CE par l'adoption de la directive 2009/136/CE, le législateur européen a posé le principe :
d'un consentement préalable de l'utilisateur avant le stockage d'informations sur l'équipement d'un utilisateur ou l'accès à des informations déjà stockées.
sauf, si ces actions sont strictement nécessaires pour la délivrance d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur.
L'article 32-II de la loi du 6 janvier 1978, modifié par l'ordonnance n°2011-1012 du 24 août 2011 qui a transposé la directive 2009/136/CE reprend ce principe.
En application de la loi informatique et libertés, les traceurs (cookies ou autres) nécessitant un recueil du consentement ne peuvent donc être déposés ou lus sur son terminal, tant que la personne n’a pas donné son consentement.
Lorsque plusieurs acteurs interviennent dans le dépôt et la lecture de cookies (par exemple lorsque les éditeurs facilitent le dépôt de cookies qui sont ensuite lus par des régies publicitaires), chacun d'entre eux doit être considéré comme coresponsable des obligations découlant des dispositions de l'article 32-II
L'obligation de recueil du consentement s'impose notamment :
aux éditeurs de sites, de système d'exploitation, et d'applications,
aux régies publicitaires,
aux réseaux sociaux,
aux éditeurs de solutions de mesure d'audience.
Sont concernés les traceurs déposés et lus par exemple lors de la consultation d'un site internet, de la lecture d'un courrier électronique, de l'installation ou de l'utilisation d'un logiciel ou d'une application mobile et ce, quel que soit le type de terminal utilisé tels qu'un ordinateur, un Smartphone, une liseuse numérique et une console de jeux vidéos connectée à Internet. S'ils répondent à certaines conditions, certains traceurs dérogent à cette obligation
A ce titre, le terme de "cookie" recouvre par exemple :
les cookies HTTP
les cookies "flash",
le résultat du calcul d'empreinte dans le cas du " fingerprinting " (calcul d'un identifiant unique de la machine basée sur des éléments de sa configuration à des fins de traçage),
les pixels invisibles ou " web bugs ",
tout autre identifiant généré par un logiciel ou un système d'exploitation, par exemple.
Ces obligations s'appliquent que les cookies collectent des données à caractère personnel ou non.
Parmi les cookies nécessitant une information préalable et une demande de consentement, on peut notamment citer :
les cookies liés aux opérations relatives à la publicité ciblée ;
certains cookies de mesure d'audience (voir les exemptions ci-dessous) ;
les cookies des réseaux sociaux générés notamment par leurs boutons de partage lorsqu'ils collectent des données personnelles sans consentement des personnes concernées.
Cette liste n'est pas exhaustive.
Pour être exemptés de demande de consentement, les cookies de mesure d'audience doivent respecter les conditions suivantes :
Aujourd'hui, peu d'outils permettent de respecter ces différentes conditions.
Les solutions d'analytics qui ne respectant pas les conditions ci-dessus doivent faire l'objet du recueil du consentement préalable des utilisateurs.
Le consentement doit se manifester par une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l'exercer. Des systèmes adaptés doivent donc être mis en place pour recueillir le consentement selon des modalités pratiques qui permettent aux internautes de bénéficier de solutions conviviales et ergonomiques.
L'acceptation de conditions générales d'utilisation ne peut être une modalité valable de recueil du consentement.
Après concertation avec les professionnels concernés, la CNIL recommande une procédure de recueil du consentement en deux étapes.
Dans la première étape, l'internaute qui se rend sur le site d'un éditeur (page d'accueil ou page secondaire du site)doit être informé, par l'apparition d'un bandeau :
Par exemple, en cas d'utilisation de traceurs à des fins publicitaires et de mesure d'audience, la mention peut être la suivante :
Voici un modèle à utiliser pour des cookies publicitaires et de mesure d’audience. Il doit être adapté en fonction de la finalité des cookies utilisés.
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de [ Cookies ou autres traceurs ]pour vous proposer [Par exemple, des publicités ciblées adaptés à vos centres d’intérêts] et [ Par exemple, réaliser des statistiques de visites].
Dans la mesure où le consentement ne doit pas être ambigu, ce bandeau ne doit pas disparaître tant que la personne n'a pas poursuivi sa navigation, c'est-à-dire tant qu'elle ne s'est pas rendue sur une autre page du site ou n'a pas cliqué sur un élément du site (image, lien, bouton " rechercher ").
Sauf consentement préalable de l'internaute, le dépôt et la lecture de Cookies ne doivent pas être effectués :
Les modalités permettant à l'usager d'exercer ses choix peuvent varier, il peut s'agir :
Cette cinématique en deux étapes peut être déclinée dans d'autres contextes, tels que les applications mobiles. Le message pourrait alors être affiché lors de la première utilisation de l'application ou de son installation.
Les modalités de recueil de l'accord préalable peuvent également revêtir différentes formes, telles que par exemple :
Des solutions conviviales doivent être mises en œuvre pour que la personne puisse retirer, à tout moment, son consentement aussi facilement qu'elle a pu le donner.
Le consentement à être suivi peut être oublié par les personnes qui l'ont manifesté à un instant donné, la CNIL estime nécessaire de limiter dans le temps la portée de ce dernier.