Le 21 octobre dernier, la CNIL a publié un article intitulé « Alternatives aux cookies tiers : quelles conséquences en matière de consentement ? »

Pour rappel, cela fait maintenant un an que la Cnil a remanié ses Lignes directrices « cookies et autres traceurs » qui formalisent la distinction entre les cookies pour lesquels le dépôt sur le terminal de l’utilisateur peut avoir lieu sans recueil préalable de consentement, et ceux pour lesquels le consentement doit être recueilli.

Les cookies concernés sont à la fois les cookies « tiers » (c’est-à-dire, ceux déposés sur des domaines différents de celui du site principal. Ces cookies ont pour fonction de permettre à des tiers de voir quelles pages ont été visitées par un utilisateur sur le site principal et de collecter des informations sur les utilisateurs à des fins publicitaires, tels que le bouton « j’aime » affichés sur un ensemble de sites tiers par certains réseaux sociaux) et les cookies « internes » (c’est-à-dire, les cookies déposés par le site consulté par l’utilisateur).

Les traceurs exemptés du recueil du consentement correspondent notamment aux traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs, à ceux destinés à l’authentification auprès d’un service ou encore, aux traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu.

Certains traceurs de mesure d’audience sont également concernés, sous réserve d’avoir pour finalité exclusive la mesure d’audience, aux conditions suivantes :

• Répondre à différents besoins strictement nécessaires au fonctionnement et aux opérations d’administration courante ;
• Être mise en œuvre pour le compte exclusif de l’éditeur du site / de l’application ;
• Produire des données statistiques anonymes.

Sont explicitement exclus les cookies permettant la mise en œuvre du suivi global de la navigation des personnes concernées sur plusieurs sites et applications et ceux permettant que les données personnelles collectées soient recoupées avec d’autres traitements ou transmises à des tiers.

La Cnil a également publié la liste des traceurs qui, sous réserve d’en faire un usage strictement nécessaire au fonctionnement et aux opérations d’administration courante du site web ou de l’application, sont identifiés comme pouvant être configurés pour rentrer dans le périmètre de l’exemption au recueil de consentement.

Cette liste, régulièrement actualisée, est accessible en suivant ce lien : https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience.

Un an après la publication de ces nouvelles Lignes directrices, la Cnil a pris acte de l’utilisation grandissante par les acteurs du secteur d’alternatives aux cookies « tiers » pour le ciblage publicitaire.

Les cookies « tiers » font en effet l’objet d’un encadrement de plus en plus strict de la part des navigateurs, et d’une surveillance de la part des autorités de contrôle telles que la Cnil.

D’autres solutions ont donc été développées par les éditeurs, ne reposant pas sur le dépôt de cookies :

• Données issues des cookies « internes » : désigne le recours aux cookies internes qui peuvent renvoyer des données via des appels d’URL sur le domaine du publicitaire, ou via des techniques de délégation ;

• Empreinte numérique du navigateur (fingerprinting) : désigne la méthode permettant d’identifier l’utilisateur de façon unique en utilisant les caractéristiques techniques de son navigateur (taille de l’écran, système d’exploitation, etc.). Cette méthode requière la collecte de suffisamment d’informations pour distinguer les utilisateurs entre eux ;

• Authentification unique (SSO – Single Sign-On) : désigne la connexion à plusieurs services au travers d’un compte et d’une authentification uniques. Le compte peut ainsi être utilisé comme un traceur des activités de l’utilisateur au cours de sa navigation ;

• Identifiants uniques : désigne les identifiants permettant de suivre un utilisateur grâce à l’utilisation d’une donnée hachée, elle-même collectée au cours de la navigation de l’utilisateur sur le site ;

• Ciblage par cohorte : désigne la pratique consistant à cibler un groupe d’utilisateurs aux comportements similaires et non plus un utilisateur de manière individuelle, en attribuant à ce groupe un identifiant unique et persistant.

La Cnil rappelle que cette pratique a d’abord été développée par certains opérateurs tels que Google afin de : « reproduire les possibilités actuelles des cookies dans le cadre de la publicité ciblée, tout en tentant de mettre en œuvre des limitations afin de diminuer l’intrusive de ces pratiques. ».

La Cnil recommande de conduire une analyse sur les conséquences pour les droits et libertés des personnes concernées de cette pratique, en insistant notamment sur les risques de réidentification individuelle et l’importance du respect du principe de minimisation des données.

La Cnil rappelle que ces solutions demeurent toutes soumises aux dispositions du Règlement n°2016/679 (le « RGPD ») ainsi qu’aux dispositions issues de la transposition de la Directive « vie privée et communications électroniques » (dite « ePrivacy »).

La Cnil rappelle également que, quand bien même ces solutions ne constitueraient pas des cookies au sens habituel du terme, elles : « reposent toutes sur l’accès à l’équipement terminal de l’utilisateur (…) pour accéder à des informations déjà stockées dans cet équipement (…) ou pour y inscrire des informations, au même titre que pour les cookies. ».

A ce titre, et conformément à la réglementation, la Cnil rappelle que : « les opérations, nécessaires à la constitution d’un profil individuel ou de groupe et à la fourniture de publicité ciblée, requièrent le consentement préalable de l’utilisateur, qu’il y ait ou non traitement de données personnelles, dans la mesure où elles ne font pas directement partie du service directement demandé par l’utilisateur ».

La Cnil en conclut que les dispositions des Lignes directrices « cookies et autres traceurs » ont vocation à s’appliquer à l’ensemble des solutions alternatives aux cookies telles que décrites ici. Ses opérations de contrôle porteront donc sur la conformité de ces solutions aux dispositions issues des Lignes directrices.

Les éditeurs de ces solutions doivent en conséquence s’assurer qu’elles respectent le principe de protection de la vie privée dès la conception (principe du privacy by design) et notamment, qu’elles :

• Intègrent des moyens permettant aux utilisateurs de garder le contrôle de leurs données ;
• Permettent aux utilisateurs d’exercer facilement leurs droits.

Enfin, la Cnil insiste sur la nécessité pour les acteurs du secteur de s’assurer qu’ils ne traitent pas de données dites « sensibles » ou « particulières ».

La Cnil rappelle en conclusion l’importance pour l’ensemble des acteurs de ce secteur, responsable de traitement et sous-traitant, de tenir compte de leurs rôles et responsabilités respectifs.