Depuis plus de deux ans, le RGPD (Règlement Général européen sur la Protection des Données personnelles) s'applique à toute l'Europe et aux données des citoyens européens. Mais, parmi les sujets qui faisaient encore débat, les cookies étaient au premier rang. Faute d'une ligne directrice claire pour interpréter le RGPD, il y avait une sorte de flou laissant une certaine marge à l'interprétation. Le chantier mené par la CNIL pour clarifier les choses en tenant compte du contexte juridique français vient enfin d'aboutir après un report dû à la crise sanitaire.

L'autorité administrative indépendante a ainsi publié deux documents : d'une part les « Lignes directrices cookies et autres traceurs » (Délibération n°2020-091 du 17 septembre 2020), d'autre part une « Recommandation cookies et autres traceurs » (Délibération n°2020-092 du 17 septembre 2020). Rappelons que seul le RGPD et la loi française ont une réelle valeur obligatoire. Les indications de la CNIL relèvent de la doctrine et précisent, suite à la large concertation menée au cours des deux dernières années, simplement la manière dont l'autorité administrative indépendante va interpréter les textes dans ses contrôles. La CNIL indique laisser six mois aux sites web pour se mettre en conformité.

Deux éléments sont particulièrement mis en avant par la CNIL au sein des deux documents pour les résumer. Tout d'abord, l'internaute doit être clairement informé des usages des cookies (ciblage publicitaire, etc.) avant d'avoir à décider ou non de les accepter, en aucun cas cette acceptation ne pouvant être présumée (par exemple en poursuivant une navigation). Et, deuxième point fondamental, le refus doit être aussi simple que l'acceptation. Il ne doit pas être nécessaire, par exemple, de multiplier les clics pour refuser chaque type de cookies alors qu'un clic suffit pour tout accepter. Cette dernière exigence est liée à un récent arrêt du Conseil d'Etat (CE, 19 juin 2020, n° 434684, T.).