La protection des personnes, renforcée par le RGPD, interdit le blocage d’un site web lorsque l’utilisateur refuse le dépôt ou la lecture des cookies.
Les cookies sont de petits fichiers enregistrés sur l’ordinateur ou le smart-phone de l’utilisateur lorsqu’il visite un site sur internet. Ils permettent à l’éditeur du site de stocker certaines informations et d’y accéder ensuite pour faciliter l’accès au site (préférences d’affichage ou de navigation). Certaines informations recueillies permettent aussi tracer la navigation de l’utilisateur et d’identifier son profil en vue d’un ciblage publicitaire (données de formulaires, panier d’achat, etc.).
La loi Informatique et libertés prévoit que l’utilisateur d’un site doit être informé de manière claire et complète de toute action tendant à inscrire ou à accéder à des informations ainsi que des moyens dont il dispose pour s’y opposer (loi 78-17 du 6 janvier 1978, article 82).
Le Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, renforce les droits des personnes à la protection des données à caractères personnel et l’exigence du libre consentement des utilisateurs. Cette nouvelle réglementation impacte la réglementation des pratiques de traçage, et notamment des cookies.
La Cnil vient en conséquence de publier de nouvelles lignes directrices concernant le contrôle qu’elle envisage d’exercer sur le dépôt des cookies. Elles remplacent la délibération de la Cnil du 5 décembre 2013 n° 2013-378.
La délibération de 2013 admettait que la poursuite de la visite d’un utilisateur sur un site pouvait signifier son accord pour le dépôt de cookies.
La Cnil revient sur sa position. L’exigence de la liberté de consentement posée par le RGPD conduit en effet à interdire désormais de bloquer l’accès d’un utilisateur qui n’autorise pas le dépôt de cookies (« cookies walls »). Le consentement de l’utilisateur doit être univoque et se manifester par une action positive et le fait de continuer à naviguer sur un site ne peut pas être assimilé à un consentement. Dans le cadre de son plan d’action sur le ciblage publicitaire pour 2019-2020, la Cnil accorde aux éditeurs de sites un délai d’un an pour se conformer à la nouvelle réglementation.
Référence : Délibération de la Cnil du 4 juillet 2019, n° 2019-093
