Sur l'obligation d'information préalable et les modalités de recueil du consentement.
En application de la loi informatique et libertés, les cookies nécessitant un recueil du consentement ne peuvent être déposés ou jus sur son terminal tant que la personne n'a pas donné son consentement.
Le terme « accord » visé par l'article 32-II de la loi précitée correspond au « consentement » défini à l'article 2 (h) de la directive 95/46/CE, c'est-à-dire « toute manifestation de volonté, libre, spécifique et informée ».
La commission considère que le consentement ne peut être valable que si la personne concernée est en mesure d'exercer valablement son choix et n'est pas exposée à des conséquences négatives importantes si elle refuse de donner son consentement. Cette interprétation est partagée par le groupe des autorités de protection des données européennes, dit G29, dans son avis 15/2011 du 13 juillet 2011 sur la définition du consentement.
Elle estime donc justifié que la personne qui refuse un cookie nécessitant un consentement puisse continuer à bénéficier du service (accès à un site internet, par exemple).
La validité du consentement est liée à la qualité de l'information reçue. Celle-ci doit être visible, mise en évidence et complète. La commission recommande donc que l'information soit rédigée en des termes simples et compréhensibles pour tout utilisateur et permette aux internautes d'être parfaitement informés des différentes finalités des cookies déposés et lus. Elle considère que l'utilisation d'une terminologie juridique ou technique trop complexe ne répondrait pas à l'exigence d'une information préalable.
La commission souligne par ailleurs que le consentement doit se manifester par le biais d'une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l'exercer. Des systèmes adaptés doivent donc être mis en place pour recueillir le consentement selon des modalités pratiques qui permettent aux internautes de bénéficier de solutions conviviales et ergonomiques. La commission examinera in concreto la conformité à la loi des solutions retenues. Elle considère que l'acceptation de conditions générales d'utilisation ne peut être une modalité valable de recueil du consentement.
Conformément à ces principes et après concertation avec les professionnels concernés, la commission recommande une procédure de recueil du consentement en deux étapes :
Dans la première étape, l'internaute qui se rend sur le site d'un éditeur (page d'accueil ou page secondaire du site) doit être informé, par l'apparition d'un bandeau :
― des finalités précises des cookies utilisés ;
― de la possibilité de s'opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;
― du fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal.
Dans la mesure où le consentement ne doit pas être ambigu, ce bandeau ne doit pas disparaître tant que la personne n'a pas poursuivi sa navigation, c'est-à-dire tant qu'elle ne s'est pas rendue sur une autre page du site ou n'a pas cliqué sur un élément du site (image, lien, bouton « rechercher »).
Ainsi, sauf consentement préalable de l'internaute, le dépôt et la lecture de cookies ne doivent pas être effectués :
― si l'internaute se rend sur le site (page d'accueil ou directement sur une autre page du site à partir d'un moteur de recherche, par exemple) et ne poursuit pas sa navigation : une simple absence d'action ne saurait être en effet assimilée à une manifestation de volonté ;
― s'il clique sur le lien présent dans le bandeau lui permettant de paramétrer les cookies et, le cas échéant, refuse le dépôt de cookies.
Dans la seconde étape, les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des cookies nécessitant un recueil du consentement :
― pour l'ensemble des technologies visées par l'article 32-II précité ;
― par catégories de finalités, notamment la publicité, les boutons des réseaux sociaux et la mesure d'audience.
La commission souligne que la mise en œuvre de ce dispositif, si elle est de nature à répondre aux exigences posées par l'article 32-II de la loi informatique et libertés, n'est pas exclusive d'autres modes plus renforcés de recueil du consentement,
Enfin, les personnes ayant donné leur consentement au dépôt ou à la lecture de certains cookies doivent être en mesure de le retirer à tout moment. Des solutions conviviales doivent donc être mises en œuvre pour que la personne puisse retirer son consentement aussi facilement qu'elle a pu le donner.