Comme nous le savons, la CNIL avait fait des cookies l’un des sujets prioritaires à contrôler sur l’année 2021. Au cours de cette année, la CNIL a prononcé un certain nombre de sanctions. Elle s’est intéressée à cette notion sous différents aspects tel que la possible marchandisation des cookies comme nous l’avions vu dans un article précédent.

La CNIL poursuit sur cette fin d’année son focus sur la gestion des cookies.

Quels ont été les comportements adoptés par la quarantaine d’organismes sanctionnés ?

• 30 se sont mis en conformité
• 4 ont sollicité un délai en raison des contraintes techniques ou opérationnelles : leurs demandes sont en cours d’analyse par la CNIL
• 4 n’ont pas donné suite: ils encourent une amende pouvant aller jusqu’à 2% de leur chiffre d’affaires

La CNIL souhaite poursuivre dans cette dynamique et prépare actuellement de nouvelles compagnes qui viseront toujours à sanctionner la possibilité de refuser aussi simplement que d’accepter les cookies. Les cibles resteront les acteurs privés nationaux et internationaux mais également les organismes publics dans le contexte des élections présidentielles de 2022.

Les cookies internes sont déposés directement sur le domaine du site consulté par l’internaute. Cela permet par exemple d’assurer le bon fonctionnement du site ou de suivre le comportement de l’utilisateur afin de lui proposer des publicités adaptées.

Les cookies tiers sont déposés sur des domaines autres que celui du site consulté, gérés par des tiers. Ils servent principalement à savoir quelles sont les pages visitées sur le site en question par l’utilisateur et d’obtenir des informations afin de lui proposer des publicités.

Les navigateurs cherchent depuis ces dernières années à limiter la possibilité de traçage des acteurs publicitaires.

Entre autre, Google a notamment annoncé fin août 2019 le lancement du projet Privacy Sandbox. L’objectif est de limiter l’utilisation des cookies pour la publicité et de proposer une alternative par le biais de solutions techniques permettant de conserver les fonctionnalités publicitaires. Google s’est engagé à ne plus utiliser de cookies tiers dans le cadre de son navigateur Chrome dès 2023.

→ Cela n’implique pas que les internautes ne seront plus tracés sur internet.

1. Les cookies internes et l’empreinte numérique du navigateur :
   1. Empreinte numérique : identification unique via les caractéristiques techniques du navigateur – Ex : matériel utilisé, taille de l’écran, système d’exploitation…
   2. Cookies internes : identification et suivi de l’internaute uniquement sur le site internet qui les dépose ;
2. L’authentification unique: authentification à de nombreux sites et applications en une seule authentification et par un compte unique ;
3. Les identifiants uniques: utilisation de l’adresse électronique ou d’un identifiant pour se connecter à différents services en ligne permettant de suivre l’utilisation de ces services par l’utilisateur ;
4. Le ciblage publicitaire par cohorte: ciblage d’un groupe d’individus ayant des comportements similaires sur le web et non un seul internaute ;

• Recueil du consentement: les utilisateurs doivent donner leur consentement librement et de manière éclairée pour faire l’objet d’un suivi non strictement nécessaire au fonctionnement du service ;
• Contrôle de ses données : les utilisateurs doivent être en mesure de contrôler leurs données et d’exercer leurs droits ;
• Pas de traitement de données sensibles ;
• Analyser sa responsabilité: les parties prenantes doivent connaitre leur responsabilité dans la mise en pratique de ces techniques – Responsable de traitement, Sous-traitant ;

La CNIL a été récompensée pour son logiciel permettant de visualiser les cookies déposés par des domaines tiers lors de la navigation sur un site internet. Ce logiciel a été développé dans une démarche d’incitation des organismes à opérer un audit de leur site internet et de leurs applications. Cela leur permet de vérifier la nécessité de mettre en place des mesures d’information des internautes sur le dépôt des cookies et le recueil du consentement.

Cette démarche a été récompensée le 20 octobre 2021 lors de la 43^ème Assemblée mondiale sur la protection de la vie privée accueillie par l’Institut national pour la transparence, l’accès à l’information et la protection des données personnelles (INAI), autorité mexicaine de la protection des données.