Maire-info
Le quotidien d’information des élus locaux

Édition du mercredi 3 février 2021
Numérique

Cookies et traceurs : les sites internet des collectivités doivent respecter le RGPD avant le 31 mars

200 communes ont été les destinataires d'un « courrier de sensibilisation » signé de la présidente de la Commission nationale de l'informatique et des libertés (Cnil), Marie-Laure Denis. Le gendarme de la protection des données demande aux maires de se mettre en conformité avec la réglementation européenne sur « l'usage des cookies et autres traceurs » avant le 31 mars.

Bientôt trois ans après son entrée en vigueur, le 25 mai 2018, le Règlement général européen sur la protection des données impose, au fur et à mesure que les transpositions dans le droit français sont adoptées, de nouvelles exigences en matière de préservation de la vie privée des internautes. Chargée de faire respecter le RGPD en France, la présidente de la Commission nationale de l’informatique et des libertés (Cnil), Marie-Laure Denis, a adressé, le 27 janvier dernier, à 200 communes « un courrier de sensibilisation »  dans lequel elle leur demande « de se conformer aux règles applicables à l’usage de cookies et de traceurs »  avant le 31 mars 2021, soit six mois après la publication de ses recommandations. Il s’avère, poursuit le gendarme de la protection des données, que « la grande majorité des sites web du secteur public ne respecte pas pleinement les dispositions légales relatives aux traceurs ».

Un consentement renforcé

Le constat, écrivait la Cnil le 1er octobre 2020, est le suivant : « Lorsqu'ils naviguent sur le web ou utilisent des applications mobiles, les internautes sont de plus en plus suivis par différents acteurs (éditeurs de service, régies publicitaires, réseaux sociaux, etc.) qui analysent leur navigation, leurs déplacements et leurs habitudes de consultation ou de consommation, afin notamment de leur proposer des publicités ciblées ou des services personnalisés. Ce traçage est réalisé par l'intermédiaire de différents outils techniques, les « traceurs », dont font partie les cookies ». « Les cookies donnent des informations sur les préférences de la personne qui visite le site, ajoute Le Journal du Net. Ce dernier est ainsi en mesure de reconnaitre et conserver des informations, par exemple le choix de la langue, les identifiants de connexion, les pages consultées ou par exemple le contenu d’un panier », ce qui peut être intéressant. 
Encore faut-il que les internautes - sur ordinateur, smartphone, tablettes numériques ou consoles de jeux vidéo connectées à internet - puissent explicitement accepter ou non de consentir à ce traçage ? C’est tout l’objet du « renforcement des exigences posées par le RGPD en matière de consentement ». A ce sujet, l’article 82 de la loi Informatique et Libertés du 6 janvier 1978, dans sa version actualisée du 1er juin 2019*, est, en effet, on ne peut plus clair sur la question : « Lorsqu'ils visitent un site web, les utilisateurs doivent être informés et donner leur consentement préalablement au dépôt ou à la lecture de cookies ou autres traceurs, à moins que ces traceurs ne bénéficient d’une des exemptions prévues ».

« Les organismes du secteur public se doivent de modifier leurs pratiques » 

La mise en conformité avec le RGPD « rend donc nécessaire une évolution des interfaces de recueil des choix des utilisateurs d’applications ou de sites recourant à ces techniques de traçage, explique la présidente de la Cnil. Les organismes du secteur public se doivent donc de modifier leurs pratiques dans la mesure où leurs sites recourent à de tels traceurs notamment lorsqu’ils intègrent des contenus provenant de sources externes (boutons de réseaux sociaux, vidéos hébergées par un tiers, etc.). » 
Très concrètement, les responsables des sites internet des collectivités devront, par exemple, s’assurer que « le bandeau cookies, apparaissant notamment sur la page d’accueil (du) site web, (détaille) les finalités pour lesquelles ces cookies sont déposés sur les terminaux des utilisateurs », précise encore la présidente de la Cnil. Pour des raisons de clarté et de concision, toutefois, « cette première description peut être limitée à une brève présentation des objectifs poursuivis par les traceurs ; une description plus détaillée peut être fournie à l’utilisateur dans un second temps ». 
Pour recueillir « un consentement valide », il convient, en résumé (le détail est à lire ici), de « permettre à l’utilisateur de consentir par un acte positif clair », au moyen de cases à cocher et décocher par exemple - attention, « le silence des personnes, qui peut passer par la simple poursuite de leur navigation, doit désormais s’interpréter comme un refus »  ; « permettre à l’utilisateur de faire un choix par finalité »  (boutons « tout accepter »  ou « tout refuser » ), « permettre à l’utilisateur d’exercer ses choix avec le même degré de simplicité »  (deux boutons présentés au même niveau et sur le même format) et de « permettre à l’utilisateur de revenir sur sa décision à tout moment avec un lien en pied de page ou un autre mécanisme de gestion des cookies accessible à tout moment sur le service concerné ».

Certains traceurs ne sont pas concernés

Comme le dit l’article 82 de la loi Informatique et Libertés, cité plus haut, certains traceurs ne sont pas soumis à un consentement de l’utilisateur. « Il s'agit des traceurs strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur, les traceurs qui visent à permettre ou faciliter la transmission de la communication par voie électronique ou bien certains traceurs de mesure d’audience servant uniquement à produire des statistiques anonymes, et limités à ce seul usage ». La Cnil publiera à ce sujet, dans les semaines à venir, « des éléments complémentaires concernant les outils de mesure d’audience pouvant prétendre à l’exemption sous réserve d’un paramétrage conforme ». 
Pour finir, Marie-Laure Denis insiste sur le risque que prendraient les communes qui ne respecteraient pas le RGPD en la matière après le 31 mars 2021 : « Toute situation de non-conformité au regard du RGPD est susceptible de faire l’objet de contrôles et constatations formelles de la Cnil, qui peuvent conduire au prononcé de « mesures correctrices », notamment d’injonctions et le cas échéant de sanctions pécuniaires ».

Ludovic Galtier

*transposition en droit français de l’article 5.3 de la directive « vie privée et communications électroniques »  ou « ePrivacy » 

Accéder aux recommandations de la Cnil.
Accéder à la foire aux questions.

Suivez Maire info sur Twitter : @Maireinfo2