La CNIL a émis deux grandes lignes directrices sur l’utilisation des cookies. Dorénavant, leur objectif doit être clairement indiqué, et leur acceptation, ou refus, doivent aussi faciles à choisir l’un que l’autre pour l’internaute.

À la suite de la décision du 19 juin 2020 du Conseil d’État, la Commission nationale de l’information et des libertés (CNIL) a publié deux nouvelles délibérations (n° 2020-091 et n° 2020-092) émises le 17 septembre 2020. Elles apportent un encadrement plus strict quant à l’utilisation des cookies, qu’ils s’appliquent à des données personnelles ou non.

Les cookies sont souvent acceptés machinalement que ce soit pour ne pas se retrouver face à un “cookies wall” – pratique qui consiste à renvoyer un internaute d’un site internet s’il n’accepte pas les cookies – ou pour ne pas se faire envahir par des pop up. Si certains ont une réelle utilité, comme garder en mémoire un mot de passe ou un panier d’achats, d’autres sont seulement là pour tracer et connaître l’internaute, ce qui porte atteinte à la vie privée de ce dernier.

Pour se rendre compte de l’ampleur des cookies ou voir quel site les utilise le plus, l’extension Firefox Lightbeam offre une vision globale.

L'interface de Lightbeam qui montre les cookies accumulés lors des navigations web.

Les triangles symbolisent les cookies accumulés lors d’une navigation. Ils sont rattachés à des carrés qui représentent les sites visités. Image : Lightbeam

Deux changements majeurs dans les recommandations de la CNIL

Le premier changement majeur de ces nouvelles lignes directrices concerne l’information de l’utilisateur. Avant d’accepter les cookies, l’internaute doit être informé de façon claire et synthétique sur leur but : publicité personnalisée, publicité géolocalisée, personnalisation du contenu, etc.

Le second changement concerne le refus des cookies. Il arrive souvent que plusieurs clics soient nécessaires pour refuser des cookies, alors qu’il ne suffit que d’un clic pour les accepter. Cela pousse l’internaute pressé à tout accepter pour arriver rapidement sur le site, ce qui représente un risque selon la CNIL. Le refus doit être aussi facile à choisir que l’acceptation. Donc, si un site a un bouton “tout accepter”, il devra, par conséquent, avoir un bouton “tout refuser”. Aussi, l’utilisateur doit pouvoir revenir facilement sur son acceptation des cookies.

Les “cookies wall” sont pointés du doigt, mais le Conseil d’État a statué que leur interdiction ne relève pas de la responsabilité de la CNIL. Toutefois, ils seront analysés au cas par cas et devront respecter les principes d’information et de facilité du choix.

Les sites internet ont 6 mois pour se mettre en conformité

Pour harmoniser leurs pratiques avec les deux délibérations de la CNIL, les sites internet ont six mois pour se mettre en conformité : avant le 1er avril 2021.

La conservation des cookies devra être abordée en fonction de la nature du site. De manière générale, la CNIL recommande une durée de conservation de 6 mois. Pour se faire, elle incite à ajouter sur le site une page “gérer mon cookies” ou alors de les inclure directement dans les paramètres.