Cookies : la CNIL incite les organismes privés et publics à auditer leurs sites web et applications mobiles

04 février 2021

Le délai raisonnable pour mettre en conformité les sites web et applications mobiles aux nouvelles règles en matière de cookies ne saurait excéder le 31 mars 2021. La CNIL a souhaité sensibiliser à nouveau les organismes privés et publics par une campagne d’envoi de courriers et courriels, l’occasion de rappeler la présence d’outils et de conseils pratiques sur cnil.fr.

Dans le cadre de son plan d’action sur le ciblage publicitaire en ligne, la CNIL a estimé raisonnable d’accorder un délai de six mois à compter de la publication des lignes directrices modificatives et de la recommandation portant sur l’usage des cookies pour que les acteurs concernés se mettent en conformité avec les nouvelles règles ainsi clarifiées. Celles-ci ayant été adoptées le 1^er octobre 2020, la période d’adaptation accordée arrivera à son terme le 31 mars 2021.

Une grande majorité de sites web du secteur public concernée

Dans le cadre de sa mission d’accompagnement et de conseil, la CNIL a ainsi souhaité s’adresser à un certain nombre d’organismes publics, pour les inciter à procéder rapidement à un audit de leurs sites web et applications mobiles afin d’engager si nécessaire, et au plus vite, des actions permettant de répondre aux exigences de la réglementation.

200 collectivités, ministères et opérateurs de l’État ont été destinataires de courriers et courriels de sensibilisation. La CNIL s’est également appuyée sur certaines têtes de réseaux du secteur public (Association des maires de France, Assemblée des départements de France, Régions de France, Réseau Déclic, Conférence des présidents d’université, SupDPO) pour assurer une large diffusion de cette campagne.

En effet, la CNIL a pu constater que la grande majorité des sites web du secteur public ne respecte pas pleinement, à ce jour, les dispositions légales relatives aux cookies.

La CNIL a ainsi attiré l’attention sur la nécessité d’engager au plus vite certaines actions :

Le bandeau cookies, apparaissant notamment sur la page d’accueil d’un site web, doit détailler les finalités pour lesquelles ces cookies sont déposés sur les appareils des utilisateurs. En effet, la seule présence d’informations générales telles que « Ce site utilise des cookies » ou « Des cookies sont utilisés pour améliorer l’efficacité des services qui vous sont proposés » n’est pas suffisante.
L'utilisateur doit pouvoir accepter ou refuser les cookies avec le même degré de simplicité. La CNIL a eu l’occasion de rappeler que l’intégration d’un bouton « Tout refuser » sur le même niveau et sur le même format que le bouton « Tout accepter » permet d’offrir un choix clair et simple pour l’internaute. Il est aussi possible, par exemple, d’offrir explicitement à l’utilisateur la possibilité de refuser les traceurs en fermant le bandeau cookies. En revanche, la seule présence d’un bouton « Paramétrer » en complément du bouton « Tout accepter » tend, en pratique, à dissuader le refus et ne permet donc pas de se mettre en conformité avec les exigences posées par le RGPD.

Dépôt de cookies sans consentement préalable : une centaine d’acteurs privés informés par la CNIL

Conjointement à la publication des lignes directrices et de la recommandation concernant l’usage des cookies et autres traceurs, la CNIL a mis en place un observatoire. Celui-ci vise à analyser périodiquement les pratiques en matière de dépôt de cookies des 1 000 sites à plus forte audience en France, en analysant les cookies déposés sur la première page vue par un internaute les consultant.

Les principaux résultats et la méthodologie appliquée sont disponibles sur le site du LINC, le Laboratoire d’Innovation Numérique de la CNIL.

Sur la base de ces résultats et pour les sensibiliser aux risques encourus en cas de non-conformité, la CNIL a décidé de s’adresser par courrier aux sites web à forte audience en France qui déposent des cookies provenant de plus de 6 domaines tiers sans consentement préalable. Parallèlement à son action vers les organismes publics, la CNIL leur a également rappelé que le renforcement des exigences posées par le RGPD en matière de consentement rend nécessaire une évolution des interfaces de recueil des choix des utilisateurs d’applications ou de sites web recourant aux techniques de traçage (par exemple lorsqu’ils intègrent des contenus provenant de sources externes tels que des boutons de réseaux sociaux).

Des conseils pratiques et outils pour accompagner la mise en conformité

Pour accompagner les acteurs, publics et privés, dans leur démarche de mise en conformité, la CNIL propose des conseils pratiques et outils. Des exemples concrets de modalités permettant notamment de recueillir un consentement conforme aux règles applicables sont ainsi présentés dans sa recommandation.

Elle propose également le logiciel CookieViz, qu’elle a développé et qui permet de visualiser les cookies déposés depuis des domaines tiers lors de la visite d’un site. Depuis la version 2 lancée en septembre 2020, de nouvelles fonctionnalités d’analyses avancées des sites ont été ajoutées, tout comme le support multilingue et de nouvelles options pour prédéfinir des parcours de visites, manuellement, depuis des fichiers ou depuis une liste préétablie comme le top Alexa.

Mesures d’audience

Concernant les cookies et traceurs utilisés pour les mesures d’audience, la CNIL rappelle que ceux servant uniquement à produire des statistiques anonymes et strictement nécessaires au bon fonctionnement du service, et limités à ce seul usage par le seul éditeur du site ou de l’application mobile, ne sont pas soumis à l’exigence du consentement préalable (voir l’article 5 des lignes directrices « cookies et autres traceurs »). La CNIL publiera, dans les semaines à venir, des éléments complémentaires concernant les outils de mesure d’audience pouvant prétendre à l’exemption.