Cookies
Les cookies sont des petits fichiers stockés sur l’appareil d’un utilisateur lorsqu’il visite un site web. Ils permettent de mémoriser certaines informations, comme les préférences de navigation, les sessions de connexion, ou encore de suivre l’activité de l’utilisateur à des fins analytiques ou publicitaires. Le profilage publicitaire consiste à collecter ces données afin de créer un profil de l’utilisateur et de lui proposer des publicités ciblées, basées sur ses habitudes de navigation, ses recherches ou ses achats.
L’enjeu du RGPD (Règlement Général sur la Protection des Données) est de garantir une protection des données personnelles en imposant des règles strictes sur leur collecte et leur traitement. Selon le RGPD, les utilisateurs doivent donner leur consentement éclairé et explicite avant que des cookies ne soient installés sur leurs appareils, notamment pour les cookies publicitaires. Ce consentement doit être libre, spécifique et informé, avec une transparence totale sur les finalités d’utilisation des cookies. En outre, les utilisateurs doivent avoir la possibilité de refuser facilement les cookies, ce qui constitue un droit fondamental pour la protection de leur vie privée.
Les sanctions jouent un rôle essentiel en exerçant une pression sur les acteurs du secteur numérique, afin de garantir une meilleure protection des données personnelles. L’objectif de la CNIL est principalement de favoriser une mise en conformité progressive, en mettant l’accent sur des mécanismes préventifs pour limiter les infractions, plutôt que de se concentrer exclusivement sur des sanctions financières sévères. Cette approche privilégie la sensibilisation et la correction des pratiques, plutôt que la répression immédiate. Bien que les entreprises contestent fréquemment ces amendes, la mise en conformité avec le RGPD demeure la priorité.
Campagne CNIL 2021 : Bilan et mise en conformité des pratiques cookies
La première campagne de vérification menée par la CNIL en 2021 a débuté le 18 mai, avec l’envoi de mises en demeure à une vingtaine d’organismes ne permettant pas aux internautes de refuser les cookies aussi facilement qu’ils pouvaient les accepter.
Cette initiative faisait partie d’une stratégie globale de mise en conformité lancée par la CNIL deux ans plus tôt, concrétisée par l’adoption, le 1er octobre 2020, de nouvelles lignes directrices et recommandations.
Les organismes visés disposaient d’un mois pour se conformer, sous peine de sanctions financières pouvant atteindre jusqu’à 2% de leur chiffre d’affaires en cas de non-respect du délai.
Selon un communiqué du 29 juin 2021, une vingtaine d’entre eux ont depuis ajusté leurs pratiques pour se mettre en conformité avec les exigences légales.
Exemption de consentement
La CNIL, en septembre 2023, précise dans ses recommandations les conditions sous lesquelles certains cookies peuvent être exemptés de consentement, notamment ceux nécessaires au bon fonctionnement d’un site. Ces cookies doivent répondre à des critères stricts :
Finalité limitée : Utilisés uniquement pour la mesure d’audience sans recouper les données ou les partager avec des tiers.Données anonymes : Les cookies doivent produire des données statistiques anonymes, sans suivi inter-sites.
Les recommandations incluent également :
- Information des utilisateurs : Ils doivent être informés, idéalement via la politique de confidentialité.
- Durée de vie limitée : Par exemple, 13 mois, sans prorogation automatique.
- Conservation des données : Les données ne doivent pas être conservées plus de 25 mois et doivent être réévaluées régulièrement.
Des solutions de mesure d’audience conformes incluent Matomo, Piwik PRO, etc.
La CNIL insiste sur la transparence, la minimisation des données et la limitation de la conservation pour permettre l’exemption de consentement des cookies de mesure d’audience.
L’Affaire « Pay or Okay » en Autriche : Un modèle de consentement controversé
Une affaire récente, en Autriche, illustre bien les défis de la mise en œuvre du consentement dans le cadre du RGPD.
En Août 2025, la Cour administrative fédérale autrichienne a confirmé la décision de l’Autorité autrichienne de protection des données (DSB) qui a jugé illégal le modèle « Pay or Okay » utilisé par le site DerStandard.at, un journal autrichien. Ce système obligeait les utilisateurs à choisir entre accepter le suivi des données à des fins publicitaires ou payer un abonnement. La Cour a estimé que ce modèle ne permettait pas un consentement libre et éclairé, un principe fondamental du RGPD.
Le problème principal réside dans le fait que ce système ne proposait pas un consentement « granulaire ». Le GDPR exige en effet que l’utilisateur puisse choisir de manière sélective, pour chaque finalité de traitement des données, s’il accepte ou non. Dans le modèle « Pay or Okay », il n’y avait qu’une seule option globale d’acceptation, ce qui a conduit à un consentement forcé.
Cette décision a des implications majeures pour la publicité en ligne. Max Schrems souligne que le système « Pay or Okay » générait un taux de consentement de 99,9 %, jugé « non authentique » et contraire au RGPD. La question se pose désormais de savoir si les modèles de consentement des médias en ligne respectent réellement le règlement européen. L’affaire pourrait être portée devant la CJUE, impactant potentiellement la régulation de la publicité numérique. L’affaire « Pay or Okay » met en évidence les limites des modèles de consentement actuels. Les entreprises doivent trouver des solutions équilibrées, conciliant collecte de données publicitaires et respect des droits des utilisateurs.
Le profilage au-delà des cookies
Le profilage numérique s’étend aujourd’hui bien au-delà de l’utilisation des cookies. En effet, des techniques comme l’empreinte numérique permettent de suivre les utilisateurs sans recourir à des cookies classiques. Cela représente un défi majeur pour la régulation, car ces technologies de suivi invisible échappent souvent aux contrôles habituels de la CNIL.
En réponse, plusieurs mesures techniques existent pour protéger les utilisateurs : paramétrer les navigateurs, utiliser des extensions de blocage de cookies, ou encore recourir à des VPN. Mais la question demeure : Comment concilier collecte de données et transparence pour les utilisateurs ?
Pour en savoir plus, ou si vous avez besoin d’accompagnement dans la mise en conformité de votre site web avec le RGPD et les exigences de la CNIL, découvrez nos autres articles et ressources pratiques disponibles sur notre site. Notre cabinet vous guide à chaque étape.
- La CNIL s’attaque à l’outil Google Analytics
- Sanctions : la CNIL n’a pas signé son départ en vacances
- Externes :
- Cookies : sanction de 50 000 euros à l’encontre de la Société du Figaro | Lexbase
- Régulation des cookies : la CNIL poursuit le plan d’action initié en 2019 et prononce deux amendes à l’encontre de GOOGLE et SHEIN | CNIL