La Commission nationale de l'informatique et des libertés (Cnil) a publié le 16 décembre 2013 une recommandation très attendue sur les cookies, qui prend la forme d'un guide de bonnes pratiques, avec un volet destiné aux responsables de sites Web et aux obligations qui leur incombent. En parallèle, elle incite fortement les internautes à se prémunir contre la traçabilité de leur navigation sur Internet et propose à cette fin des vidéos pédagogiques sur le fonctionnement des cookies ainsi que des outils pour les identifier ou empêcher leur installation.
Ainsi, afin de sensibiliser les internautes, la Cnil a mis à disposition Cookieviz: il s'agit d'un nouvel outil, à télécharger sur son site Web, qui permet de visualiser en temps réel les cookies transmettant les informations collectées (adresse IP, identifiant, géolocalisation, etc.) à d'autres sites. En pratique, il s'agit de trouver un équilibre entre deux enjeux en apparence opposés: d'une part, protéger la vie privée des internautes, en assurant le respect des dispositions régissant les données à caractère personnel, et d'autre part, assurer l'essor du modèle économique du Web, en particulier celui du commerce électronique, qui repose principalement sur les investissements publicitaires.
La Cnil rappelle les obligations imposées par la directive 2009/136/CE, transposée en droit français par l'ordonnance n°2011-2012 du 24 août 2011: avant de déposer ou lire un cookie, les responsables de sites doivent indiquer aux internautes la finalité de ce cookie et solliciter auprès d'eux leur accord exprès. Ces obligations s'imposent aux éditeurs de sites, de systèmes d'exploitation et d'applications, aux régies publicitaires, aux réseaux sociaux et aux éditeurs de solutions de mesure d'audience.
Le consentement préalable de l'internaute est requis pour les cookies suivants: ceux liés aux opérations relatives à la publicité ciblée, ceux des réseaux sociaux générés par les «boutons de partage» dans le cas où ils collectent des données personnelles sans le consentement des personnes concernées et certains cookies de mesure d'audience (sauf pour ceux qui font l'objet d'une exemption, voir ci-après). Sans consentement exprès et préalable de l'internaute, c'est-à-dire si ce dernier ne poursuit pas la navigation sur le site ou s'il refuse le cookie via ses paramétrages, le dépôt et la lecture de ce cookie ne doivent pas être effectués.
En revanche, certains cookies bénéficient d'une exemption et peuvent donc être déposés ou lus sans consentement préalable de l'internaute: les cookies relatifs au panier d'achat pour l'e-commerce, les cookies «identifiants de session» pour la durée de la session, les cookies dits de connexion de l'internaute, les cookies de session créés par un lecteur multimédia, les cookies de session d'équilibrage de charge «load balancing« et les cookies persistants de personnalisation de l'interface utilisateur (préférences de langue, etc.).
Les textes n'imposent pas de solliciter l'accord de l'utilisateur à chaque visite d'une page Web: si l'utilisateur a précédemment donné son accord (ou exprimé son refus) pour un cookie, il n'est pas nécessaire de solliciter à nouveau son accord lors des visites suivantes.
Au cœur de la publicité ciblée en ligne, les cookies publicitaires assurent la collecte d'informations qui, après analyse, permettent d'adapter les contenus publicitaires à un public déterminé, en fonction de sa navigation, de sa géolocalisation ou des caractéristiques personnelles renseignées, tel que l'âge ou le sexe de l'internaute. Les cookies publicitaires ne bénéficiant d'aucune exemption, la Cnil recommande de procéder par étapes:
1) un bandeau d'information sur le site, informant l'internaute de la finalité publicitaire des cookies utilisés de la possibilité de s'y opposer (via un lien vers une page dédiée), de sorte que la poursuite de sa navigation vaut accord pour l'installation et la lecture des cookies;
2) une mention par laquelle l'internaute est informé des moyens mis à sa disposition pour accepter ou refuser le ou les cookies.
A ce titre, la Cnil propose un modèle de mention pour des cookies à des fins de publicité ciblée: «En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des publicités adaptées à vos centres d'intérêts. Pour en savoir plus et paramétrer vos cookies, cliquer ici.» En effet, une simple information au sein des conditions générales d'utilisation du site, aussi précise soit-elle, ne constitue pas, selon la Cnil, une modalité acceptable de recueil du consentement de l'internaute.
Certains acteurs de la publicité ciblée trouveront sans doute que la solution recommandée par la Cnil reste trop contraignante. Cependant, cette recommandation rejoint la solution préconisée par les associations professionnelles, sous l'égide de l'Union française du marketing direct et digital, et constitue ainsi une avancée significative en faveur des professionnels du marketing. Par son pragmatisme, cette solution trace un équilibre raisonnable entre les intérêts en présence et devrait, à ce titre, susciter la confiance nécessaire à l'essor de l'e-marketing 3.0.