A l’occasion de cette seconde partie, la discorde se poursuit entre les partisans d’une gestion raisonnée des cookies, et les professionnels plaidant en faveur d’accommodements raisonnables entre la protection des données personnelles et les besoins propres à l’exercice de leur profession. Quelles sont les pistes d’améliorations à suivre, susceptibles de faire émerger un consensus ?
Article 2 : Le diable est dans les détails
Ce second article se distingue par une importante mobilisation des contributeurs en faveur d’un renforcement du nouveau cadre établi par la CNIL. Cette mobilisation s’accompagne également d’une demande de précision sur des termes équivoques comme « le caractère non substantiel de la mise à jour des responsables de traitement ». La CNIL indique en effet qu’en cas de mise à jour de la liste des responsables de traitement, le consentement de l’utilisateur n’a pas à être à nouveau recueilli si cette mise à jour présente un caractère substantiel. Certains contributeurs voient, dans l’imprécision de la notion de caractère non substantiel, la possibilité pour un site internet de recueillir un consentement sur le fondement d’une liste de responsables de traitement, amenée à évoluer, sans que le consentement de l’utilisateur soit renouvelé. Le CPA voit, pour sa part, un risque accru de condamnation des professionnels du fait de l’imprécision de certains points des recommandations.
En outre, les utilisateurs voient dans l’imprécision des termes utilisés, le risque d’abus par les sites web quand les professionnels s’inquiètent de l’insécurité juridique sous-jacente.
Article 3 : Centralisation et unification du recueil de consentement
L’article 3 n’a mené qu’à une dizaine de contributions desquelles ressortent une demande d’uniformisation du design patern (soit un modèle type de mise en page conforme et promu par la CNIL), ou encore une demande de contrôle par les navigateurs de la gestion des accès.
Au titre du troisième article, le CPA critique pour sa part le changement de paradigme à l’œuvre. Selon l’association, la CNIL offre à l’utilisateur de multiples moyens pour s’opposer à la collecte des données, en ce sens on assiste au renversement du principe de consentement par défaut, vers un principe de refus par défaut.
Article 4 et 5 : La fin des pièges à consentement
Au quatrième article, quelques propositions visent les abus jusqu’ici de rigueur, consistant à noyer l’utilisateur dans un choix infini de responsables de traitement. Il ressort de la consultation publique que l’utilisateur doit-être en mesure de refuser en bloc l’ensemble des responsables de traitement au travers une fonctionnalité d’accès au refus massif. En outre, cet article centralise le débat de l’opt-in et de l’opt-out.
L’article suivant voit les contributeurs se mobiliser autour de la disparition des sliders (ces curseurs ON/OFF permettant de donner son consentement), des doubles négations, ou encore de l’absence d’une case à cocher permettant à l’utilisateur de manifester son choix par un acte positif. L’article 5 pose également la question de l’obligation faite aux sites web de renouveler l’ensemble des consentements recueillis au terme d’un processus non conforme aux nouvelles exigences.
Par ailleurs, les contributeurs attendent de la CNIL une réponse sans ambiguïté sur l’interdiction du principe de scroll ou de poursuite de la navigation, en tant qu’accès d’autorisation donné par l’utilisateur. Il faut ici entendre l’ensemble des situations où le site web considère le consentement comme donné, alors que l’utilisateur poursuit sa navigation en ne manifestant ni son refus ni son consentement. Enfin, le CPA se démarque ici par son absence.
Article 6 : Ce qui se conçoit bien s’énonce clairement
Le nombre de contributions pour cet article est faible et révèle un commun accord des professionnels et des utilisateurs sur sa portée. Le CPA retient tout de même une atteinte à la liberté des responsables de traitement, au travers la durée unique de validité passant de 13 mois (comme préconisé dans un avis du G29) à 6 mois.
Article 7 : Probatio diabolica
La preuve du consentement interroge sur l’existence d’une technologie capable de répondre, en tout point, aux contraintes du régime créé par la CNIL. Les critiques sont ainsi nombreuses à se porter sur les solutions retenues par la CNIL au sens où les moyens techniques relevés par la commission, pour permettre aux responsables de traitement de rapporter à tout moment le consentement de l’utilisateur, sont jugés peu pertinents par les contributeurs. Quelques propositions existent comme la mise en place d’une certification à la charge de la CNIL ou encore d’une évolution de son outil « cookie viz » afin de permettre aux responsables de traitement des audits volontaires. Ainsi, ni le projet de recommandation ni les contributions de l’article 7 n’ont pour l’heure apporté une technique claire à la question probatoire pesant sur les responsables de traitement.
Les divergences élevées à l’occasion de cette consultation publique méritent une réponse sans-équivoque de la CNIL, toutefois la Commission prend acte du contexte sanitaire mondiale et retarde l’adoption définitive des recommandations de bonnes pratiques en matière de cookies. Dans cette attente, la question est ouverte, entre respect de la vie privée et atteinte à la liberté d’entreprendre, la CNIL réussira-t-elle à se jouer des intérêts en présence en consacrant une harmonieuse articulation de ces libertés ?
Antoine Perrot
M2 Cyberjutice – Promotion 2019-2020
Sources :
Site de la CNIL – Projet de recommandation cookies et autres traceurs
Dalloz actualité – Cookies et autres traceurs publication du projet de recommandation de CNIL
Légifrance – Délibération du 4 juillet 2019 portant adoption de lignes directrices par la CNIL